Kibana < / < / <多個漏洞 (ESA-2026-35 / ESA-2026-38) 9.4.29.3.59.4.x9.0.x8.19.168.x
medium Nessus Plugin ID 318724
語言:
概要
遠端主機受多個弱點影響。說明
遠端主機上安裝的 Kibana 版本在 、 或 9.3.59.4.2之前8.19.16。因此,它會受到 ESA-2026-35 和 ESA-2026-38 公告中所提及的多個弱點影響。- Kibana 中不受控制的資源消耗 (CWE-400) 可能會透過過度分配 (CAPEC-130) 導致拒絕服務。經過驗證的使用者可能會傳送特製的壓縮要求承載,該承載會在授權檢查之前處理,進而造成過多的記憶體和 CPU 資源消耗,進而導致 Kibana 執行個體無回應或當機。(CVE-2026-42400)
- Kibana Fleet 代理程式原則管理功能中的不當輸入驗證 (CWE-20) 可能會導致權限提升。具有叢集管理權限的已驗證使用者可以透過將值插入未經充分驗證的組態覆寫機制來操作代理程式原則組態。攻擊者可導致 Elastic Agent 獲發具有提升 Elasticsearch 權限的 API 金鑰,從而可能授予對敏感 Elasticsearch 安全性指數的未經授權的讀取和寫入存取權,超出叢集管理角色的預期範圍。(CVE-2026-49095)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Kibana 8.19.16、9.3.5、9.4.2 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 318724
檔案名稱: kibana_esa_2026_35.nasl
版本: 1.4
類型: Remote
系列: CGI abuses
已發布: 2026/6/4
已更新: 2026/6/8
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.7
時間性分數: 5.7
媒介: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:N
CVSS 評分資料來源: CVE-2026-49095
CVSS v3
風險因素: Medium
基本分數: 6.5
時間性分數: 5.7
媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:elasticsearch:kibana
必要的 KB 項目: installed_sw/Kibana
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/5/28
弱點發布日期: 2026/5/28
參考資訊
CVE: CVE-2026-42400, CVE-2026-49095
IAVB: 2026-B-0141, 2026-B-0142