CVE-2026-42398
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
28/05/2026
Última modificación:
01/06/2026
Descripción
*** Pendiente de traducción *** Server-Side Request Forgery (CWE-918) in Kibana allows authenticated users with connector management privileges to bypass the operator-configured connection allowlist. By configuring a Webhook connector with a crafted target, an attacker can cause Kibana to issue outbound requests to destinations that the egress restriction controls were intended to block.
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:elastic:kibana:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.2.8 (excluyendo) |
| cpe:2.3:a:elastic:kibana:*:*:*:*:*:*:*:* | 9.3.0 (incluyendo) | 9.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



