Logstash 中对路径名限制不当，导致可以写入任意文件

该漏洞的潜在影响非常严重。攻击者可以利用该漏洞在 Logstash 进程的权限下，在服务器上写入任意文件，包括配置文件、系统文件甚至可执行文件。如果攻击者能够控制写入的文件内容，则可能完全控制受影响的系统。例如，攻击者可以覆盖 Logstash 的配置文件，使其执行恶意代码，或者上传并执行恶意脚本。由于 Logstash 通常用于收集和处理敏感数据，因此该漏洞可能导致数据泄露、系统破坏和业务中断。该漏洞的利用方式类似于其他路径遍历漏洞，但由于 Logstash 的特殊功能，其影响范围可能更大。

Organizations heavily reliant on Logstash for centralized logging and data processing are at significant risk. Specifically, environments with automatic pipeline reloading enabled, or those lacking robust input validation on update endpoints, are particularly vulnerable. Shared hosting environments where multiple users share a Logstash instance also face increased risk.

• linux / server:

journalctl -u logstash | grep -i "archive extraction"

• linux / server:

ps aux | grep -i logstash | grep -i "extracting archive"

• generic web:

curl -I <logstash_update_endpoint> | grep -i "Content-Type: application/zip"

1. 2026-04-08Disclosure

   disclosure

1. 已保留2026-03-20
2. 发布日期2026-04-08
3. 修改日期2026-04-10
4. EPSS 更新日期2026-04-16

为了缓解 CVE-2026-33466 的风险，建议立即升级到 Logstash 8.19.14 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：禁用自动管道重新加载功能，限制 Logstash 能够访问的文件路径，并对所有上传的压缩文件进行严格的验证。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止包含恶意路径的请求。使用 Sigma 或 YARA 规则可以帮助检测潜在的攻击行为，例如异常的文件写入操作。