免费扫描
MEDIUMCVE-2026-33458CVSS 6.8

Kibana One Workflow 中存在服务器端请求伪造 (SSRF),可能导致信息泄露

平台

nodejs

组件

kibana

修复版本

9.3.3

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月
在NVD查看
保存
正在翻译为您的语言…

CVE-2026-33458 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in Kibana One Workflow. This flaw allows an authenticated user with workflow creation and execution privileges to bypass host allowlist restrictions, potentially leading to the exposure of sensitive internal endpoints and data. The vulnerability impacts Kibana versions 9.3.0 through 9.3.2. A patch is available in version 9.3.3.

影响与攻击场景

Kibana One Workflow 中的 CVE-2026-33458 存在服务器端请求伪造 (SSRF) 漏洞,可能导致信息泄露。具有工作流创建和执行权限的经过身份验证的用户可以绕过工作流执行引擎中的主机允许列表限制,从而可能暴露敏感的内部端点和数据。CVSS 严重性评级为 6.8,表明存在中等风险。解决此漏洞对于保护 Elasticsearch 和 Kibana 环境中数据的完整性和保密性至关重要。成功利用需要 Kibana 中的身份验证和特定权限,但潜在影响很大。

利用背景

具有必要角色(工作流创建和执行)的经过身份验证的攻击者可以操纵工作流配置,以向通常不在 Kibana 范围内的内部主机发送请求。这通过利用工作流执行引擎中 URL 验证不足来实现。此漏洞集中在绕过主机允许列表的能力上,允许攻击者访问内部服务、读取文件或在易受攻击的系统上执行命令。利用成功取决于环境配置以及通过伪造请求访问的内部服务的存在。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N6.8MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件kibana
供应商Elastic
影响范围修复版本
9.3.0 – 9.3.29.3.3

弱点分类 (CWE)

CWE-918

时间线

  1. 已保留
  2. 发布日期
  3. EPSS 更新日期

缓解措施和替代方案

CVE-2026-33458 的主要缓解措施是将 Kibana 更新到 9.3.3 或更高版本。此更新包含解决了 SSRF 漏洞的修复程序。此外,建议审查和加强 Kibana 中的访问控制策略,以将用户权限限制在绝对必要的最低限度内。监控 Kibana 日志中与工作流执行相关的可疑活动可以帮助检测和响应潜在的利用尝试。实施纵深防御策略,包括防火墙和入侵检测系统,可以提供额外的保护层。

修复方法翻译中…

Actualice Kibana a la versión 9.3.3 o posterior para mitigar la vulnerabilidad de SSRF. Esta actualización corrige la forma en que Kibana maneja las solicitudes del lado del servidor, evitando la exposición de endpoints internos y datos sensibles. Consulte las notas de la versión de Elastic para obtener instrucciones detalladas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33458 是什么 — Kibana 中的 SSRF?

SSRF(服务器端请求伪造)是一种漏洞,允许攻击者使服务器执行对攻击者控制的资源的请求。在这种情况下,Kibana 可能被欺骗以访问内部资源。

Kibana 中的 CVE-2026-33458 是否会影响我?

需要“工作流创建”和“工作流执行”角色才能利用此漏洞。

如何修复 Kibana 中的 CVE-2026-33458?

如果您无法立即升级,请考虑限制对内部端点的访问并监控 Kibana 日志中是否存在可疑活动。

CVE-2026-33458 是否正在被积极利用?

如果您使用的是 9.3.3 之前的 Kibana 版本,并且启用了 One Workflow,则很可能受到影响。

在哪里可以找到 Kibana 关于 CVE-2026-33458 的官方安全通告?

请参阅 Elasticsearch 和 Kibana 的官方文档以获取有关此漏洞的更多详细信息和更新。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE