Elasticsearch 9.1.1 曝 6 项漏洞，最高严重性 7.5 分且可被利用

Elasticsearch 9.1.1 版本的核心依赖包中发现了六个安全漏洞，其中最高严重性评分为 7.5 分（高危），且所有漏洞均被标记为“可被利用”。这一发现直接指向了广泛使用的搜索和分析引擎的核心安全风险，可能影响依赖该版本构建的众多企业级应用和数据服务。

漏洞报告显示，问题根源于 `/package.json` 文件中的依赖项。最严重的漏洞被标识为 CVE-2026-2229，其 CVSS 评分为 7.5，属于高危级别。该漏洞存在于一个名为 `undici-7.5.0.tgz` 的传递性依赖库中。关键信息在于，对于 Elasticsearch 9.1.1 版本，目前尚无官方修复版本（标记为 N/A），且报告明确指出“修复不可行”。这意味着使用此版本的部署目前无法通过简单的版本升级来消除风险。

这一情况将给使用该版本 Elasticsearch 的开发和运维团队带来直接压力。由于漏洞可被利用且暂无官方补丁，团队必须评估其暴露面，并考虑临时的缓解措施或替代方案。对于处理敏感数据或面向公网的服务而言，风险尤为突出。此事件也凸显了在复杂软件供应链中，管理传递性依赖安全性的持续挑战。