漏洞概述 漏洞名称: Allocation of Resources Without Limits or Throttling in Elasticsearch Leading to Denial of Service CVE ID: CVE-2026-56149 问题类型: CWE-770 - Allocation of Resources Without Limits or Throttling 影响类型: CAPEC-130 - Excessive Allocation 严重程度: CVSSv3.1: Medium (4.9) 影响范围 受影响版本: - 8.x: 所有从8.0.0到8.19.16的版本 - 9.x: 所有从9.0.0到9.3.5的版本 - 所有从9.4.0到9.4.2的版本 受影响配置: - 使用机器学习的部署 - 需要具有创建或管理训练模型权限的账户 修复方案 解决方案: - 该问题在版本8.19.17、9.3.6和9.4.3中已解决 无法升级的用户: - 目前没有针对此漏洞的变通方法 其他信息 相关主题: - Elasticsearch 7.17.24, 8.15.0 Security Update (ESA-2026-52) - Elasticsearch 8.19.17, 9.3.6, 9.4.3 Security Update (ESA-2026-42) - Elasticsearch 8.19.9, 9.1.9, and 9.2.3 Security Update (ESA-2025-33) - Elasticsearch 8.19.8, 9.1.8, and 9.2.2 Security Update (ESA-2025-37) - Elasticsearch 7.17.21 and 8.13.3 Security Update (ESA-2024-25) 页面截图中的代码块 无POC代码或利用代码 --- 以上为网页截图中关于漏洞的关键信息总结。