製品・ソフトウェアに関する情報

JVN脆弱性詳細

Elasticsearch B.V.のKibanaにおける不正な認証に関する脆弱性

Title	Elasticsearch B.V.のKibanaにおける不正な認証に関する脆弱性
Summary	Kibanaにおける不正な認可（CWE-863）は、特権乱用（CAPEC-122）によりクロススペース情報漏洩を引き起こす可能性があります。あるKibanaスペースでFleetエージェント管理権限を持つユーザーが、内部の登録エンドポイントを介して他のスペースのFleetサーバーポリシーの詳細を取得できます。このエンドポイントはスコープ制御されたアクセス制御を回避し、スコープなしの内部クライアントを使用して、ユーザーがアクセス権を持たないスペースから操作識別子、ポリシー名、管理状態、およびインフラ連携の詳細を返します。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 8, 2026, midnight
Registration Date	April 23, 2026, 10:13 a.m.
Last Update	April 23, 2026, 10:13 a.m.

Affected System

Elasticsearch B.V.

Kibana 8.0.0 以上 8.19.14 未満

Kibana 9.0.0 以上 9.2.8 未満

Kibana 9.3.0 以上 9.3.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33460	https://www.cve.org/CVERecord?id=CVE-2026-33460
National Vulnerability Database (NVD)
2	CVE-2026-33460	https://nvd.nist.gov/vuln/detail/CVE-2026-33460

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	Name	URL
Topics
1	Kibana 8.19.14, 9.2.8, 9.3.3 Security Update (ESA-2026-25) - Announcements / Security Announcements - Discuss the Elastic Stack	https://discuss.elastic.co/t/kibana-8-19-14-9-2-8-9-3-3-security-update-esa-2026-25/385813

Change Log

No	Changed Details	Date of change
1	[2026年04月23日] 掲載	April 23, 2026, 10:13 a.m.

NVD Vulnerability Information

CVE-2026-33460

Summary	Incorrect Authorization (CWE-863) in Kibana can lead to cross-space information disclosure via Privilege Abuse (CAPEC-122). A user with Fleet agent management privileges in one Kibana space can retrieve Fleet Server policy details from other spaces through an internal enrollment endpoint. The endpoint bypasses space-scoped access controls by using an unscoped internal client, returning operational identifiers, policy names, management state, and infrastructure linkage details from spaces the user is not authorized to access.
Publication Date	April 9, 2026, 2:21 a.m.
Registration Date	April 15, 2026, 11:32 a.m.
Last Update	April 22, 2026, 2:51 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	https://discuss.elastic.co/t/kibana-8-19-14-9-2-8-9-3-3-security-update-esa-2026-25/385813	security@elastic.co

Common Vulnerabilities List