spring
CVE-2026-40970:Elasticsearch 自动配置使用 SSL Bundle 时会禁用 TLS 主机名验证
中危 | 2026年4月23日 | CVE-2026-40970
描述
当 Spring Boot 的 Elasticsearch 自动配置被设置为使用 SSL Bundle 时,应用在连接 Elasticsearch 服务器时不会执行主机名验证。主机名验证是 TLS 连接中的重要校验步骤,用于确认客户端连接的服务器证书是否与目标主机匹配。
如果该校验被跳过,攻击者在特定网络条件下可能更容易伪装成目标 Elasticsearch 服务,或通过中间人方式影响连接安全。对于存放业务日志、检索数据、用户行为数据或其他敏感索引内容的 Elasticsearch 环境来说,该问题可能削弱客户端到服务端通信链路的可信性。
该问题影响的是 Spring Boot 中使用 Elasticsearch 自动配置并启用 SSL Bundle 的场景。如果未使用相关配置,或没有通过该方式连接 Elasticsearch,则不属于该漏洞描述的主要影响范围。
受影响的 Spring 产品和版本
受影响产品为 Spring Boot,涉及以下版本:
● 4.0.0 - 4.0.5
缓解措施
受影响版本的用户应升级到对应的修复版本。升级后,Elasticsearch 自动配置在使用 SSL Bundle 时会按预期执行 TLS 主机名验证,从而降低连接到非预期服务端的风险。
无需采取额外缓解措施。建议受影响用户尽快升级至修复版本,并在升级后验证 Elasticsearch 连接、证书配置、索引读写和应用启动流程是否正常。
处理建议
建议先确认项目是否使用 Spring Boot 4.0.0 至 4.0.5,并检查是否通过 SSL Bundle 配置 Elasticsearch 连接。如果命中受影响条件,应尽快升级到 4.0.6。
同时,应检查 Elasticsearch 服务端证书配置是否规范,包括证书有效期、证书链、主机名或域名匹配关系。对于生产环境,客户端连接地址应与证书中的主机标识保持一致,避免使用临时地址、错误别名或不受控的代理入口。
如果 Elasticsearch 承载敏感索引数据,建议同步检查访问链路、网络边界和日志记录,确认是否存在异常连接、证书校验失败、代理转发异常或非预期节点访问记录。升级修复版本后,可结合测试环境和生产灰度流程完成连接验证。
