NVD Vulnerability Detail

CVE-2026-33463

Summary	Operation on a Resource after Expiration or Termination (CWE-672) in Kibana can lead to unauthorized information disclosure. A logic error in how expiration timestamps were validated allowed a time-bounded access token to remain usable beyond its intended validity window, enabling an unauthenticated actor in possession of the token to retrieve the associated content after expiration.
Publication Date	May 29, 2026, 5:16 a.m.
Registration Date	May 30, 2026, 4:11 a.m.
Last Update	May 29, 2026, 11:46 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://discuss.elastic.co/t/8-19-16-9-3-5-security-update-esa-2026-33/386551	security@elastic.co

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-672	有効期限後または解放後のリソースの操作	https://cwe.mitre.org/data/definitions/672.html

JVN Vulnerability Information

Elasticsearch B.V.のKibanaにおける有効期限後または解放後のリソースの操作に関する脆弱性

Title	Elasticsearch B.V.のKibanaにおける有効期限後または解放後のリソースの操作に関する脆弱性
Summary	Kibanaにおけるリソースの有効期限切れや終了後の操作（CWE-672）は、不正な情報漏えいを引き起こす可能性があります。有効期限のタイムスタンプを検証する方法に論理的な誤りがあり、時間制限付きアクセストークンが本来の有効期限を過ぎても使用可能なままになります。そのため、認証されていない攻撃者がそのトークンを所持している場合、有効期限切れ後でも関連するコンテンツを取得できます。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 28, 2026, midnight
Registration Date	June 3, 2026, 5:02 p.m.
Last Update	June 3, 2026, 5:02 p.m.

Affected System

Elasticsearch B.V.

Kibana 8.0.0 以上 8.19.16 未満

Kibana 9.0.0 以上 9.3.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33463	https://www.cve.org/CVERecord?id=CVE-2026-33463
National Vulnerability Database (NVD)
2	CVE-2026-33463	https://nvd.nist.gov/vuln/detail/CVE-2026-33463

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-672	https://cwe.mitre.org/data/definitions/672.html

ベンダー情報

No	Name	URL
Topics
1	8.19.16, 9.3.5 Security Update (ESA-2026-33) - Announcements / Security Announcements - Discuss the Elastic Stack	https://discuss.elastic.co/t/8-19-16-9-3-5-security-update-esa-2026-33/386551

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 5:02 p.m.