Plataforma
linux
Componente
logstash
Corrigido em
8.19.14
A vulnerabilidade CVE-2026-33466, classificada como acesso arbitrário de arquivo, afeta o Logstash, uma ferramenta de processamento de dados. Um atacante pode explorar essa falha para escrever arquivos arbitrários no sistema, potencialmente levando à execução remota de código. As versões afetadas incluem Logstash 8.0.0 até 8.19.13; a correção foi lançada na versão 8.19.14.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante escreva arquivos em locais arbitrários no sistema de arquivos do servidor Logstash. Isso ocorre devido à falta de validação adequada de caminhos de arquivo dentro de arquivos compactados durante o processo de extração. Um atacante pode criar um arquivo compactado malicioso e, se o Logstash estiver configurado para carregar pipelines automaticamente de uma fonte controlada pelo atacante, a vulnerabilidade pode ser explorada. O impacto potencial é severo, incluindo a capacidade de sobrescrever arquivos de configuração críticos, instalar malware ou obter acesso shell ao sistema. A execução remota de código, embora não diretamente explorada, é uma consequência potencial da escrita arbitrária de arquivos, especialmente se o atacante conseguir sobrescrever executáveis ou scripts.
A vulnerabilidade foi divulgada em 2026-04-08. Não há evidências públicas de exploração ativa no momento da divulgação, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para exploração. A ausência de um KEV listing sugere que a probabilidade de exploração é considerada baixa a média. A existência de um POC público pode aumentar a probabilidade de exploração.
Organizations heavily reliant on Logstash for centralized logging and data processing are at significant risk. Specifically, environments with automatic pipeline reloading enabled, or those lacking robust input validation on update endpoints, are particularly vulnerable. Shared hosting environments where multiple users share a Logstash instance also face increased risk.
• linux / server:
journalctl -u logstash | grep -i "archive extraction"• linux / server:
ps aux | grep -i logstash | grep -i "extracting archive"• generic web:
curl -I <logstash_update_endpoint> | grep -i "Content-Type: application/zip"disclosure
Status do Exploit
EPSS
0.39% (percentil 60%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Logstash para a versão 8.19.14 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desativar o carregamento automático de pipelines de fontes não confiáveis. Implementar regras de firewall (WAF) ou proxy para bloquear solicitações que tentem acessar arquivos compactados de fontes externas pode ajudar a reduzir a superfície de ataque. Monitore os logs do Logstash em busca de tentativas de acesso a arquivos em locais inesperados ou com nomes suspeitos. Além disso, restrinja as permissões do usuário Logstash para minimizar o impacto caso a vulnerabilidade seja explorada.
Actualice Logstash a la versión 8.19.14 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la validación de rutas de archivo dentro de los archivos comprimidos, previniendo la escritura arbitraria de archivos en el sistema de archivos. Consulte las notas de la versión de Elastic para obtener instrucciones detalladas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33466 is a HIGH severity vulnerability in Logstash versions 8.0.0–8.19.13 that allows attackers to write arbitrary files via crafted archives, potentially leading to remote code execution.
If you are running Logstash versions 8.0.0 through 8.19.13, you are potentially affected. Check your version and upgrade immediately.
Upgrade to Logstash version 8.19.14 or later. As an interim measure, disable automatic pipeline reloading.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the official Elastic security advisory for details: [https://www.elastic.co/security/advisories/CVE-2026-33466](https://www.elastic.co/security/advisories/CVE-2026-33466)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.