Platform
linux
Component
logstash
Opgelost in
8.19.14
CVE-2026-33466 beschrijft een kwetsbaarheid voor Arbitrary File Access in Logstash, een open-source dataverwerkingspipeline. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te schrijven, wat kan leiden tot remote code execution. De kwetsbaarheid treft versies van Logstash tussen 8.0.0 en 8.19.13. Een fix is beschikbaar in versie 8.19.14.
Deze kwetsbaarheid maakt misbruik van een onjuiste beperking van padnamen naar een beperkte directory (CWE-22). Een aanvaller kan een speciaal ontworpen archief aanbieden aan Logstash via een gecompromitteerd update-eindpunt. De archief extractie tools in Logstash valideren paden binnen gecomprimeerde archieven niet correct. Dit stelt de aanvaller in staat om willekeurige bestanden naar het bestandssysteem te schrijven met de privileges van het Logstash proces. In configuraties met automatisch pipeline herladen, kan dit leiden tot remote code execution, waardoor de aanvaller controle over het systeem kan overnemen. De impact is aanzienlijk, aangezien een succesvolle exploit kan resulteren in dataverlies, systeemcompromittering en verdere aanval op andere systemen binnen het netwerk.
Deze kwetsbaarheid is openbaar bekend en vereist geen complexe exploitatie. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de relatieve eenvoud van de exploit maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de potentiële dreiging aantoont. Het misbruik van deze kwetsbaarheid volgt een vergelijkbaar patroon als bekende Relative Path Traversal kwetsbaarheden.
Organizations heavily reliant on Logstash for centralized logging and data processing are at significant risk. Specifically, environments with automatic pipeline reloading enabled, or those lacking robust input validation on update endpoints, are particularly vulnerable. Shared hosting environments where multiple users share a Logstash instance also face increased risk.
• linux / server:
journalctl -u logstash | grep -i "archive extraction"• linux / server:
ps aux | grep -i logstash | grep -i "extracting archive"• generic web:
curl -I <logstash_update_endpoint> | grep -i "Content-Type: application/zip"disclosure
Exploit Status
EPSS
0.39% (60% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Logstash versie 8.19.14 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade direct niet mogelijk is, overweeg dan het tijdelijk uitschakelen van automatische pipeline herlading. Configureer een Web Application Firewall (WAF) of proxy om verdachte archief uploads te blokkeren. Implementeer strenge toegangscontroles op de Logstash update-eindpunten. Monitor Logstash logs op ongebruikelijke bestandstoegangsactiviteit. Zoek naar IOC's zoals onverwachte bestandsnamen of paden in de logbestanden. Na de upgrade, controleer de Logstash configuratie en logs om te bevestigen dat de kwetsbaarheid is verholpen en er geen verdachte activiteit plaatsvindt.
Actualice Logstash a la versión 8.19.14 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la validación de rutas de archivo dentro de los archivos comprimidos, previniendo la escritura arbitraria de archivos en el sistema de archivos. Consulte las notas de la versión de Elastic para obtener instrucciones detalladas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33466 is a HIGH severity vulnerability in Logstash versions 8.0.0–8.19.13 that allows attackers to write arbitrary files via crafted archives, potentially leading to remote code execution.
If you are running Logstash versions 8.0.0 through 8.19.13, you are potentially affected. Check your version and upgrade immediately.
Upgrade to Logstash version 8.19.14 or later. As an interim measure, disable automatic pipeline reloading.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the official Elastic security advisory for details: [https://www.elastic.co/security/advisories/CVE-2026-33466](https://www.elastic.co/security/advisories/CVE-2026-33466)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.