漏洞概述 漏洞名称: Allocation of Resources Without Limits or Throttling in Kibana Leading to Denial of Service (CVE-770) 漏洞描述: 在Kibana中,由于资源分配没有限制或节流,可能导致服务拒绝(CAPEC-130)。经过身份验证的用户可以提交一个特制的批量删除请求,导致过度的资源消耗,从而使Kibana不可用。 影响范围 受影响版本: - 8.x: 所有从8.0.0到8.19.14的版本 - 9.x: 所有从9.0.0到9.3.3的版本 - 9.4.0及以后版本不受影响 受影响配置: - 使用Timeline功能的部署。利用需要具有Timeline访问权限的身份验证账户。 修复方案 解决方案: - 该问题已在版本8.19.15和9.3.4中解决。 无法升级的用户: - 目前没有针对此漏洞的变通方法。 其他信息 严重性: CVSSv3.1: Medium (6.5) CVSS评分: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVE ID: CVE-2026-49087 问题类型: CWE-770 - Allocation of Resources Without Limits or Throttling 影响: CAPEC-130 - Excessive Allocation 相关主题 其他相关安全更新包括: - Kibana 8.19.16, 9.3.5, 9.4.1 Security Update (ESA-2026-32) - Kibana 8.19.10, 9.1.10, 9.2.4 Security Update (ESA-2026-03) - Kibana 8.19.16, and 9.3.5 Security Update (ESA-2026-36) - Kibana 8.19.16 Security Update (ESA-2026-39) - Kibana 8.19.10, 9.1.10, 9.2.4 Security Update (ESA-2026-04) 页面底部信息 页面底部包含Elasticsearch的版权声明和相关商标信息。