漏洞概述 漏洞名称: Uncontrolled Recursion in Elasticsearch Leading to Denial of Service CVE ID: CVE-2026-56148 问题类型: CWE-674 - Uncontrolled Recursion 影响: CAPEC-130 - Excessive Allocation 严重程度: CVSSv3.1: Medium (6.5) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 影响范围 受影响版本: - 8.x: 所有从8.0.0到8.19.16的版本 - 9.x: 所有从9.0.0到9.4.2的版本 - 9.3.x: 所有从9.3.0到9.3.5的版本 受影响配置: - 所有配置均受影响。利用需要具有提交查询权限的认证账户,不需要管理员权限。 修复方案 解决方案: - 该问题已在版本8.19.17、9.3.6和9.4.3中解决。 无法升级的用户: - 目前没有针对此漏洞的变通方法。 其他信息 相关主题: - Elasticsearch 8.19.17, 9.3.6, 9.4.3 Security Update (ESA-2026-43) - Elasticsearch 7.17.24, 8.15.0 Security Update (ESA-2026-52) - Elasticsearch 7.13.3 and 6.8.17 Security Update - Elasticsearch 8.19.9, 9.1.9, and 9.2.3 Security Update (ESA-2025-33) - Elasticsearch 8.15.1 Security Update (ESA-2024-34) 页面截图中的POC代码或利用代码 页面中未包含具体的POC代码或利用代码。