プラットフォーム
nodejs
コンポーネント
kibana
修正版
9.3.3
9.2.8
8.19.14
CVE-2026-33460 は Kibana における情報漏洩の脆弱性です。Fleet エージェント管理権限を持つユーザーが、本来アクセス権限がない他の Kibana スペースの Fleet Server ポリシーの詳細を不正に取得できる可能性があります。この脆弱性は Kibana のバージョン 8.0.0 から 9.3.2 に影響を与えます。9.3.3 以降のバージョンで修正されています。
CVE-2026-33460 は Kibana に影響を与え、特権の悪用により、スペース間の情報漏洩を引き起こす可能性があります。 Kibana のあるスペースで Fleet エージェント管理権限を持つユーザーは、内部の登録エンドポイントを介して、他のスペースから Fleet Server ポリシーの詳細情報を取得できます。 これは、スペーススコープのアクセス制御の失敗によるもので、内部エンドポイントがスコープ外のクライアントを使用し、アクセス制限を回避します。 この脆弱性は、ユーザーが直接アクセス権を持っていないスペースからのオペレーション識別子、ポリシー名、管理状態、インフラストラクチャリンクの詳細を公開します。 CVSS 4.3 のスコアは中程度のリスクを示しており、潜在的な不正アクセスを軽減するために迅速な対応が必要です。 これにより、機密性の高い構成データが公開され、運用セキュリティに影響を与える可能性があります。
CVE-2026-33460 の悪用には、Kibana スペース内で Fleet エージェント管理権限を保持している攻撃者が必要です。 このアクセス権を取得すると、攻撃者は内部エンドポイントを活用して、他のスペースの Fleet Server ポリシー情報を、それらのスペース内の権限に関係なく要求できます。 内部エンドポイントの適切なアクセス制御がないことが、この不正アクセスを容易にします。 このタイプの攻撃は、マルチテナント環境や、異なるチームがデータを管理するために個別の Kibana スペースを使用している場合、特に懸念されます。なぜなら、他のチームの機密情報へのアクセスを可能にするからです。
Organizations heavily reliant on Kibana's Fleet management capabilities, particularly those with complex Kibana deployments involving multiple spaces and varying levels of user access, are at increased risk. Shared hosting environments where multiple users share a Kibana instance are also particularly vulnerable, as a compromised user in one space could potentially access data from other spaces.
• nodejs / server: Monitor Kibana logs for requests to the internal enrollment endpoint that originate from users with Fleet agent management privileges but lack authorization for the target space. Use grep to search for patterns indicating unauthorized access attempts.
grep 'internal_enrollment_endpoint' /var/log/kibana/*• nodejs / server: Examine Kibana's internal network traffic using tools like tcpdump or Wireshark to identify suspicious communication patterns related to the enrollment endpoint.
• wordpress / composer / npm: (Not applicable - Kibana is not a WordPress plugin or Node.js package)
• database (mysql, redis, mongodb, postgresql): (Not applicable - Kibana does not directly interact with these databases for this vulnerability)
• generic web: Monitor Kibana's access logs for unusual patterns of requests targeting the internal enrollment endpoint, particularly from users with Fleet agent management privileges.
disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVE-2026-33460 の解決策は、Kibana をバージョン 9.3.3 以降にアップグレードすることです。 このアップデートは、Fleet Server ポリシーの詳細への不正アクセスを可能にする認証の脆弱性を修正します。 データセキュリティが最優先事項である環境では、できるだけ早くアップデートを適用することを強くお勧めします。 さらに、Kibana スペースのアクセス許可構成を確認して、ユーザーが必要なリソースにのみアクセスできるようにしてください。 影響を受ける内部エンドポイントに関連する疑わしいアクティビティについて Kibana ログを監視します。 パッチの適用とアクセス許可の確認は、Kibana 環境を保護するための重要な手順です。
Actualice Kibana a la versión 8.19.14, 9.2.8 o 9.3.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige el control de autorización incorrecto que permite el acceso no autorizado a los detalles de la política de Fleet Server.
脆弱性分析と重要アラートをメールでお届けします。
Fleet Server は、Elastic Stack のコンポーネントであり、Fleet エージェントの構成とデプロイを管理します。
これは、ユーザーがアクセスすべきではない他の Kibana スペースの情報にアクセスできることを意味します。
すぐにアップグレードできない場合は、影響を受ける内部エンドポイントへのアクセスを制限するなど、一時的な軽減策を検討してください。
使用している Kibana のバージョンを確認してください。バージョン 9.3.3 より前の場合は、この脆弱性があります。
Elastic は、脆弱性検出および分析ツールを提供しており、脆弱な Kibana インスタンスを特定するのに役立ちます。
CVSS ベクトル