Elastic vừa phát đi cảnh báo an ninh quan trọng vào ngày 14/1/2026, yêu cầu người dùng cập nhật khẩn cấp Kibana để vá 4 lỗ hổng bảo mật. Những sai sót này có thể cho phép tin tặc đánh cắp các tập tin nhạy cảm hoặc đánh sập hệ thống thông qua tấn công từ chối dịch vụ (DoS).
Tâm điểm của đợt cập nhật này là lỗ hổng mang mã định danh CVE-2026-0532, được xếp hạng mức độ nghiêm trọng cao với điểm số CVSS đạt 8.6/10. Đây là sự kết hợp nguy hiểm giữa lỗi kiểm soát đường dẫn tập tin bên ngoài và giả mạo yêu cầu phía máy chủ (SSRF). Vấn đề nằm ngay trong Google Gemini connector của Kibana.
Các phân tích kỹ thuật cho thấy, nếu kẻ tấn công có quyền quản lý connector (connector management privileges), chúng có thể khởi tạo các payload JSON độc hại. Việc khai thác thành công lỗ hổng này cho phép tin tặc kích hoạt các yêu cầu mạng tùy ý và đọc trực tiếp các tập tin nhạy cảm từ hệ thống bị ảnh hưởng. Hậu quả là các tập tin cấu hình, thông tin xác thực (credentials) và dữ liệu ứng dụng quan trọng có nguy cơ bị lộ lọt ra ngoài.
Nguy cơ đánh sập hệ thống từ Kibana Fleet và Email Connector
Bên cạnh lỗ hổng nghiêm trọng nêu trên, Elastic cũng đồng thời xử lý ba lỗ hổng mức độ trung bình khác (CVE-2026-0530, CVE-2026-0531 và CVE-2026-0543) với cùng điểm số CVSS là 6.5. Mặc dù mức độ nghiêm trọng thấp hơn, nhưng chúng đều dẫn đến cùng một hậu quả: DDoS do cạn kiệt tài nguyên hệ thống.
Cụ thể, hai lỗ hổng CVE-2026-0530 và CVE-2026-0531 xuất phát từ việc phân bổ tài nguyên không kiểm soát trong Kibana Fleet. Điều đáng lo ngại là ngay cả những người dùng có quyền hạn thấp (low-privilege viewers) cũng có thể khai thác bằng cách gửi các yêu cầu truy xuất hàng loạt (bulk retrieval requests) được định dạng đặc biệt. Các thao tác cơ sở dữ liệu dư thừa này sẽ ngốn sạch bộ nhớ cho đến khi máy chủ gặp sự cố. Tương tự, lỗ hổng CVE-2026-0543 ảnh hưởng đến Email Connector, nơi việc xác thực đầu vào lỏng lẻo đối với các tham số địa chỉ email cũng dẫn đến tình trạng tê liệt dịch vụ hoàn toàn.
Bảng tổng hợp các lỗ hổng cần lưu ý
| Mã CVE | Điểm CVSS | Mức độ | Loại lỗ hổng |
|---|---|---|---|
| CVE-2026-0532 | 8.6 | Cao | SSRF & File Disclosure |
| CVE-2026-0543 | 6.5 | Trung bình | Improper Input Validation |
| CVE-2026-0531 | 6.5 | Trung bình | Uncontrolled Resource Allocation |
| CVE-2026-0530 | 6.5 | Trung bình | Uncontrolled Resource Allocation |
Giải pháp và khuyến
Elastic khuyến nghị các tổ chức đang vận hành Kibana (phiên bản từ 7.x đến 9.2.3) cần thực hiện nâng cấp ngay lập tức để ngăn chặn rủi ro bị khai thác. Các phiên bản đã được vá lỗi bao gồm: 8.19.10, 9.1.10 và 9.2.4. Đối với người dùng sử dụng nền tảng Elastic Cloud Serverless, hệ thống đã được cập nhật tự động thông qua quy trình triển khai liên tục và hoàn toàn an toàn trước các lỗ hổng này.
Trong trường hợp chưa thể nâng cấp ngay, quản trị viên có thể áp dụng biện pháp giảm thiểu rủi ro bằng cách tắt các loại connector bị ảnh hưởng thông qua tham số cấu hình xpack.actions.enabledActionTypes. Tuy nhiên, việc ưu tiên rà soát và cập nhật vẫn là phương án tối ưu, đặc biệt đối với các hệ thống có thể truy cập từ mạng không tin cậy hoặc môi trường đa người dùng.
