Kibana 8.x < 8.16.3 / 8.17.x < 8.17.2 承認バイパス(ESA-2026-51)

medium Nessus プラグイン ID 326283

概要

リモートホストは、認証バイパス脆弱性の影響を受けます。

説明

リモートホストにインストールされている Kibana のバージョンは、 8.x より前の 8.16.3 または 8.17.x より前の 8.17.2 です。したがって、認証バイパスの脆弱性の影響を受けます:

- Kibanaのユーザー制御キー(CWE-639)による認証バイパスにより、不正なデータ変更が引き起こされる可能性があります。
特定の状況下で、認証されたユーザーが、別のユーザーのAI Assistant会話識別子を参照して、所有していない会話にアクセスしたり変更したりする可能性があります。悪用を成功させるには、推測が困難な識別子に関する知識が必要です。(CVE-2026-49089)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Kibanaバージョン 8.16.3、 8.17.2以降に更新してください。

参考資料

http://www.nessus.org/u?5041d9bb

プラグインの詳細

深刻度: Medium

ID: 326283

ファイル名: kibana_esa_2026_51.nasl

バージョン: 1.1

タイプ: Remote

ファミリー: CGI abuses

公開日: 2026/7/10

更新日: 2026/7/10

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Low

基本値: 3.6

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2026-49089

CVSS v3

リスクファクター: Medium

基本値: 4.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N

脆弱性情報

CPE: cpe:/a:elasticsearch:kibana

必要な KB アイテム: installed_sw/Kibana

パッチ公開日: 2026/7/1

脆弱性公開日: 2026/7/1

参照情報

CVE: CVE-2026-49089

IAVB: 2026-B-0187