Kibana CVE-2026-4498 漏洞通報與升級建議:影響範圍與修補措施總整理

2026-07-07 更新

Kibana 安全更新公告(ESA-2026-21)

Elastic 官方於 2026 年 4 月 8 日發布安全公告,指出 Kibana Fleet debug routes 存在 CVE-2026-4498,可能讓具特定權限的已驗證使用者讀取超出其 Elasticsearch RBAC 範圍的資料。

官方公告重點

Elastic 表示,Kibana Fleet plugin 的 debug route handlers 存在 Execution with Unnecessary Privileges(CWE-250)問題,可能因 Privilege Abuse(CAPEC-122)而讓使用者讀取超出其直接 Elasticsearch RBAC scope 的 index data。此問題需要已驗證的 Kibana 使用者具備 Fleet sub-feature privileges,例如 agents、agent policies 與 settings management。

受影響版本包括 8.x 自 8.0.0 起至 8.19.13(含)、9.x 自 9.0.0 起至 9.2.7(含),以及 9.3.0 至 9.3.2(含)的所有版本。官方指出,Fleet 在 Kibana 中預設為啟用(xpack.fleet.agents.enabled 預設為 true),而 debug routes 會在 Fleet 啟用時註冊為 internal routes;除此之外,不需要任何非預設設定,亦即標準啟用 Fleet 的 Kibana 部署皆可能受影響。

Elastic 已於 8.19.14、9.2.8 與 9.3.3 修復此問題。若短期內無法升級,官方建議限制 Fleet privileges,檢查所有授予 Fleet sub-feature privileges(例如 agents_all、agent_policies_all、settings_all)的自訂角色,並在套用修補前僅保留給受信任的管理者使用;不過官方仍明確建議升級至最新的非受影響版本。

Indicators of Compromise(IOC)方面,若已啟用 Kibana audit logging(xpack.security.audit.enabled: true),可在 Kibana audit logs 中搜尋目標路徑為 /internal/fleet/debug/index 或 /internal/fleet/debug/saved_objects 的 HTTP request audit events,以偵測對 Fleet debug routes 的存取。

針對 Elastic Cloud Serverless,Elastic 表示,由於其持續部署與修補模式,本公告描述的弱點已在公開揭露前完成修補。

影響版本

8.x:8.0.0 至 8.19.13(含)
9.x:9.0.0 至 9.2.7(含)
9.x:9.3.0 至 9.3.2(含)

受影響環境

啟用 Fleet 的標準 Kibana 部署。
Fleet 預設啟用(xpack.fleet.agents.enabled 預設為 true)。
需要已驗證使用者具備 Fleet sub-feature privileges,例如 agents、agent policies 與 settings management。

建議措施

Kibana 建議升級至安全版本:

  • 8.19.14 / 9.2.8 / 9.3.3

無法升級者請採以下因應措施:

若短期內無法完成升級,可先依官方建議限制 Fleet 子功能權限並監控 audit logs。

  1. 限制 Fleet 子功能權限:
    Review all custom roles that grant Fleet sub-feature privileges(例如 agents_all、agent_policies_all、settings_all),並在套用修補前僅保留給 trusted administrative users。
  2. 檢查 Kibana audit logs:
    若已啟用 xpack.security.audit.enabled: true,可搜尋對 /internal/fleet/debug/index 與 /internal/fleet/debug/saved_objects 的 HTTP request audit events。

Elastic Cloud 環境:

Elastic 也針對其雲端服務狀態補充說明。

  1. Elastic Cloud Serverless:
    由於持續部署與修補模式,Elastic 表示此安全公告所述弱點已在公開揭露前於 Elastic Cloud Serverless 完成修補。

安全性建議

▲ 儘速升級至 8.19.14、9.2.8 或 9.3.3。
▲ 檢查授予 Fleet sub-feature privileges 的自訂角色,僅保留給受信任管理者。
▲ 若已啟用 Kibana audit logging,檢視對 Fleet debug routes 的存取紀錄。

本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫。

參考來源

快速跳轉目錄

✦ 集先鋒 Bimap – 企業建置高速穩定的海量日誌分析平台✦

集中不同的結構化資料和非結構化日誌,並進行關聯性的大數據整合,客製化儀表版、自訂事件告警、機器學習等等,以滿足各種大數據的應用場景和解決方案。