Plateforme
linux
Composant
logstash
Corrigé dans
8.19.14
La vulnérabilité CVE-2026-33466 concerne une faille d'accès arbitraire de fichier dans Logstash, résultant d'une validation insuffisante des chemins de fichiers lors de l'extraction d'archives compressées. Cette vulnérabilité peut permettre à un attaquant d'écrire des fichiers arbitraires sur le système de fichiers avec les privilèges du processus Logstash, ce qui peut conduire à une exécution de code à distance. Elle affecte les versions de Logstash comprises entre 8.0.0 et 8.19.13, et une correction est disponible dans la version 8.19.14.
Un attaquant exploitant cette vulnérabilité peut servir une archive spécialement conçue à Logstash via un point de terminaison de mise à jour compromis ou contrôlé par l'attaquant. L'extraction non sécurisée de cette archive permettrait à l'attaquant d'écrire des fichiers arbitraires sur le système de fichiers du serveur Logstash. Dans les configurations où le rechargement automatique des pipelines est activé, l'impact est amplifié, car l'attaquant pourrait potentiellement modifier les configurations de Logstash ou injecter du code malveillant. La compromission du processus Logstash pourrait ensuite permettre un accès non autorisé aux données traitées par Logstash, voire une prise de contrôle du système.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (accès arbitraire de fichier) la rend potentiellement dangereuse. Il n'est pas encore listé sur KEV, et l'EPSS score est en attente d'évaluation. Des preuves de concept publiques (PoC) pourraient émerger, augmentant le risque d'exploitation.
Organizations heavily reliant on Logstash for centralized logging and data processing are at significant risk. Specifically, environments with automatic pipeline reloading enabled, or those lacking robust input validation on update endpoints, are particularly vulnerable. Shared hosting environments where multiple users share a Logstash instance also face increased risk.
• linux / server:
journalctl -u logstash | grep -i "archive extraction"• linux / server:
ps aux | grep -i logstash | grep -i "extracting archive"• generic web:
curl -I <logstash_update_endpoint> | grep -i "Content-Type: application/zip"disclosure
Statut de l'Exploit
EPSS
0.39% (percentile 60%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour Logstash vers la version 8.19.14 ou supérieure, qui corrige cette vulnérabilité. Si une mise à niveau immédiate n'est pas possible, des mesures d'atténuation peuvent être mises en place. Il est crucial de désactiver le rechargement automatique des pipelines si possible. En outre, configurez un pare-feu d'application web (WAF) ou un proxy inverse pour bloquer les requêtes contenant des chemins de fichiers malveillants. Surveillez attentivement les journaux de Logstash pour détecter toute tentative d'écriture de fichiers non autorisée. Enfin, examinez et limitez les sources de données que Logstash peut traiter, en vous assurant qu'elles proviennent de sources fiables.
Actualice Logstash a la versión 8.19.14 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la validación de rutas de archivo dentro de los archivos comprimidos, previniendo la escritura arbitraria de archivos en el sistema de archivos. Consulte las notas de la versión de Elastic para obtener instrucciones detalladas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33466 is a HIGH severity vulnerability in Logstash versions 8.0.0–8.19.13 that allows attackers to write arbitrary files via crafted archives, potentially leading to remote code execution.
If you are running Logstash versions 8.0.0 through 8.19.13, you are potentially affected. Check your version and upgrade immediately.
Upgrade to Logstash version 8.19.14 or later. As an interim measure, disable automatic pipeline reloading.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the official Elastic security advisory for details: [https://www.elastic.co/security/advisories/CVE-2026-33466](https://www.elastic.co/security/advisories/CVE-2026-33466)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.