Multiple critical vulnerabilities in Elastic products, including Kibana, Packetbeat, and Synthetics Recorder, allow for remote code execution, denial of service, and server-side request forgery. The article references CVE-2020-7017 (CVSS 6.7), CVE-2025-6554 (CVSS 8.1), and CVE-2025-7657 (CVSS 8.8), but specific affected version ranges and corresponding fixed versions for the Elastic products are not detailed; readers are directed to the referenced Elastic security bulletins for patching instructions.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 27 février 2026 N° CERTFR-2026-AVI-0220 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Elastic Gestion du document Référence CERTFR-2026-AVI-0220 Titre Multiples vulnérabilités dans les produits Elastic Date de la première version 27 février 2026 Date de la dernière version 27 février 2026 Source(s) Bulletin de sécurité Elastic 385247 du 26 février 2026 Bulletin de sécurité Elastic 385248 du 26 février 2026 Bulletin de sécurité Elastic 385249 du 26 février 2026 Bulletin de sécurité Elastic 385250 du 26 février 2026 Bulletin de sécurité Elastic 385251 du 26 février 2026 Bulletin de sécurité Elastic 385252 du 26 février 2026 Bulletin de sécurité Elastic 385253 du 26 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Déni de service à distance Exécution de code arbitraire à distance Falsification de requêtes côté serveur (SSRF) Systèmes affectés Kibana versions 8.x antérieures à 8.19.12 Kibana versions 9.3.x antérieures à 9.3.1 Kibana versions 9.x antérieures à 9.2.6 Packetbeat versions 8.x antérieures à 8.19.11 Packetbeat versions 9.x antérieures à 9.2.5 Synthetics Recorder versions antérieures à 1.4.14 Résumé De multiples vulnérabilités ont été découvertes dans les produits Elastic. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une falsification de requêtes côté serveur (SSRF). Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Elastic 385247 du 26 février 2026 https://discuss.elastic.co/t/packetbeat-8-19-11-9-2-5-security-update-esa-2026-10/385247 Bulletin de sécurité Elastic 385248 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-12-9-2-6-9-3-1-security-update-esa-2026-12/385248 Bulletin de sécurité Elastic 385249 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-12-9-2-6-9-3-1-security-update-esa-2026-13/385249 Bulletin de sécurité Elastic 385250 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-11-9-2-5-security-update-esa-2026-14/385250 Bulletin de sécurité Elastic 385251 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-11-9-2-5-security-update-esa-2026-15/385251 Bulletin de sécurité Elastic 385252 du 26 février 2026 https://discuss.elastic.co/t/synthetics-recorder-1-4-15-security-update-esa-2026-16-cve-2025-6554-and-cve-2025-7657/385252 Bulletin de sécurité Elastic 385253 du 26 février 2026 https://discuss.elastic.co/t/kibana-9-3-1-security-update-esa-2026-17/385253 Référence CVE CVE-2020-7017 https://www.cve.org/CVERecord?id=CVE-2020-7017 Référence CVE CVE-2025-6554 https://www.cve.org/CVERecord?id=CVE-2025-6554 Référence CVE CVE-2025-7657 https://www.cve.org/CVERecord?id=CVE-2025-7657 Référence CVE CVE-2026-26932 https://www.cve.org/CVERecord?id=CVE-2026-26932 Référence CVE CVE-2026-26934 https://www.cve.org/CVERecord?id=CVE-2026-26934 Référence CVE CVE-2026-26935 https://www.cve.org/CVERecord?id=CVE-2026-26935 Référence CVE CVE-2026-26936 https://www.cve.org/CVERecord?id=CVE-2026-26936 Référence CVE CVE-2026-26937 https://www.cve.org/CVERecord?id=CVE-2026-26937 Référence CVE CVE-2026-26938 https://www.cve.org/CVERecord?id=CVE-2026-26938 Gestion détaillée du document le 27 février 2026 Version initiale