プラットフォーム
nodejs
コンポーネント
kibana
修正版
9.3.3
9.2.8
8.19.14
CVE-2026-33461 は、Elastic Kibana における情報漏洩の脆弱性です。攻撃者は、Fleet の制限付き権限を悪用して、本来上位の権限を持つユーザーのみがアクセスできるべき機密設定データを不正に取得する可能性があります。この脆弱性は Kibana バージョン 8.0.0 から 9.3.2 までに影響を与え、9.3.3 以降で修正されています。
この脆弱性を悪用されると、攻撃者は Kibana の内部 API エンドポイントを介して、機密性の高い設定データを盗み出すことが可能になります。これには、秘密鍵や認証トークンが含まれる可能性があり、攻撃者は Kibana 環境への不正アクセスや、さらなる攻撃への足がかりとして利用する可能性があります。特に、Fleet 管理機能を利用している環境では、攻撃者が Fleet の制限付き権限を持つアカウントを侵害することで、広範囲な情報漏洩を引き起こすリスクがあります。この脆弱性は、Elasticsearch クラスタ全体の機密情報を漏洩させる可能性があり、重大なセキュリティインシデントに発展する可能性があります。
この脆弱性は、特権昇格を伴う情報漏洩であり、攻撃者による悪用が懸念されます。現時点では、公開されている PoC は確認されていませんが、Elastic のセキュリティチームは、この脆弱性の深刻度を認識しており、迅速な対応を推奨しています。CISA の KEV カタログへの登録状況は確認されていません。NVD (National Vulnerability Database) は 2026年4月8日に公開されています。
エクスプロイト状況
EPSS
0.06% (17% パーセンタイル)
CISA SSVC
Kibana 9.3.3 以降へのアップデートが推奨されます。アップデートが困難な場合は、Fleet の権限設定を厳格化し、最小限の権限でユーザーを管理することで、攻撃の影響範囲を限定できます。また、Kibana のアクセス制御を強化し、不正なアクセスを検知・防止するための WAF (Web Application Firewall) やプロキシの設定を検討してください。Kibana のログを監視し、異常な API 呼び出しやアクセスパターンを検知するルールを実装することも有効です。
Kibana をバージョン 8.19.14、9.2.8、または 9.3.3 以降にアップデートすることで、この脆弱性を軽減できます。このアップデートは、Fleet の内部 API における不適切な認証処理を修正し、機密情報の漏洩を防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33461 は、Elastic Kibana 8.0.0~9.3.2 における情報漏洩の脆弱性で、Fleet の制限付き権限を持つユーザーが機密設定データを不正に取得できるものです。
Kibana のバージョンが 8.0.0 から 9.3.2 の場合は、この脆弱性の影響を受ける可能性があります。9.3.3 以降にアップデートすることで修正されます。
Kibana をバージョン 9.3.3 以降にアップデートしてください。アップデートが困難な場合は、Fleet の権限設定を厳格化し、アクセス制御を強化してください。
現時点では、公開されている PoC は確認されていませんが、Elastic のセキュリティチームは、この脆弱性の深刻度を認識しており、悪用される可能性は否定できません。
Elastic のセキュリティアドバイザリページで確認できます。https://www.elastic.co/jp/security/advisories
CVSS ベクトル