CVE-2026-0528

Опубликовано: 13 янв. 2026

Источник: nvd

CVSS3: 6.5

CVSS3: 7.5

EPSS Низкий

Описание

Improper Validation of Array Index (CWE-129) exists in Metricbeat can allow an attacker to cause a Denial of Service through Input Data Manipulation (CAPEC-153) via specially crafted, malformed payloads sent to the Graphite server metricset or Zookeeper server metricset. Additionally, Improper Input Validation (CWE-20) exists in the Prometheus helper module that can allow an attacker to cause a Denial of Service through Input Data Manipulation (CAPEC-153) via specially crafted, malformed metric data.

Ссылки

https://discuss.elastic.co/t/metricbeat-8-19-10-9-1-10-9-2-4-security-update-esa-2026-01/384519
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:elastic:kibana:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.17.29 (исключая)

cpe:2.3:a:elastic:kibana:*:*:*:*:*:*:*:*

Версия от 8.0.0 (включая) до 8.19.10 (исключая)

cpe:2.3:a:elastic:kibana:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.1.10 (исключая)

cpe:2.3:a:elastic:kibana:*:*:*:*:*:*:*:*

Версия от 9.2.0 (включая) до 9.2.4 (исключая)

EPSS

Процентиль: 14%

0.00047

Низкий

6.5 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-129

Связанные уязвимости

GHSA-w2gr-585j-r428

CVSS3: 6.5

github

25 дней назад

Metricbeat affected by multiple denial of service vulnerabilities

EPSS

Процентиль: 14%

0.00047

Низкий

6.5 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-129