Kibana CVE-2026-33462 漏洞通報與升級建議:影響範圍與修補措施總整理

2026-07-07 更新

Kibana 安全更新公告(ESA-2026-30)

Elastic 官方於 2026 年 5 月 28 日發布安全公告,指出 Kibana 的 CVE-2026-33462 可能在特定操作情境下造成未授權刪除使用者帳號或其他資源,建議升級至 8.19.16 或 9.3.5。

官方公告重點

Elastic 表示,Kibana 的 dashboard management 功能中存在 path traversal 弱點。具有限制權限的已驗證使用者可建立帶有特殊識別碼的 dashboard;當管理員之後透過 Kibana 介面刪除此 dashboard 時,刪除請求可能被導向非預期的內部端點,進而造成未授權刪除使用者帳號或其他資源。

官方說明,成功利用此問題需要管理員對惡意建立的 dashboard 物件執行刪除動作。

受影響版本為 8.x 的 8.0.0 至 8.19.15(含),以及 9.x 的 9.0.0 至 9.3.4(含)。受影響配置為允許不受信任使用者建立 dashboard,且管理員會執行 dashboard 刪除操作的 Kibana 執行個體。

Elastic 表示,此問題已在 Kibana 8.19.16 與 9.3.5 修復。對於暫時無法升級的使用者,官方建議僅將 dashboard 建立權限開放給受信任使用者,並限制 Analytics > Dashboard > All 權限只授予授權人員,以降低惡意 dashboard 物件被建立的風險。

關於指標監控,官方建議管理員檢視 Kibana audit logs 中與 dashboard 刪除事件對應的異常安全敏感操作,留意包含 path traversal 序列的 dashboard identifier,以及被重新導向至非預期內部端點的刪除請求。

Elastic Cloud Serverless 方面,Elastic 表示基於持續部署與修補模式,此弱點已在公開揭露前完成修補。

嚴重性:CVSS v3.1 為 Medium(4.6);CVE ID:CVE-2026-33462;Problem Type:CWE-22 – Improper Limitation of a Pathname to a Restricted Directory。

影響版本

8.x:8.0.0 至 8.19.15(含)
9.x:9.0.0 至 9.3.4(含)

受影響環境

允許不受信任使用者建立 dashboard,且管理員會執行 dashboard 刪除操作的 Kibana 執行個體。

建議措施

Kibana 建議升級至安全版本:

  • 8.19.16 / 9.3.5

無法升級者請採以下因應措施:

若暫時無法升級,Elastic 提供以下風險降低建議。

  1. 限制 dashboard 建立權限:
    僅將 dashboard 建立權限授予受信任使用者,以降低惡意建立 dashboard 物件的風險。
  2. 縮限 Analytics > Dashboard > All 權限:
    將 Analytics > Dashboard > All 權限限制給授權人員,避免非必要人員建立可誘發問題的 dashboard。

Elastic Cloud 環境:

Elastic 也補充其雲端服務狀態。

  1. Elastic Cloud Serverless:
    由於持續部署與修補模式,Elastic 表示此安全公告所述弱點已在公開揭露前於 Elastic Cloud Serverless 完成修補。

安全性建議

▲ 儘速升級至 8.19.16 或 9.3.5。
▲ 在完成升級前,僅將 dashboard 建立與相關權限授予受信任人員。

本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫。

參考來源

快速跳轉目錄

✦ 集先鋒 Bimap – 企業建置高速穩定的海量日誌分析平台✦

集中不同的結構化資料和非結構化日誌,並進行關聯性的大數據整合,客製化儀表版、自訂事件告警、機器學習等等,以滿足各種大數據的應用場景和解決方案。