漏洞概述 漏洞名称: Operation on a Resource after Expiration or Termination in Kibana Leading to Unauthorized File Access CVE ID: CVE-2026-33453 问题类型: CWE-672 - Operation on a Resource after Expiration or Termination 严重程度: CVSSv3.1: Medium (5.3) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 影响范围 受影响版本: - 8.x: 所有从 8.0.0 到包括 8.19.15 的版本 - 9.x: 所有从 9.0.0 到包括 9.3.4 的版本 受影响配置: - 使用公共文件共享功能来发出时间限制下载链接的 Kibana 部署受到影响。 - 不发出公共共享令牌的部署不受影响。 修复方案 解决方案和缓解措施: - 该问题在 Kibana 版本 8.19.16 和 9.3.5 中得到解决。 对于无法升级的用户: - 撤销任何活动的公共文件共享令牌,并在升级应用之前避免发出新的公共共享。 - 在可行的情况下,将文件共享功能的访问权限限制为受信任的管理员。 Elastic Cloud Serverless 由于持续的部署和修补模型,此安全公告中描述的漏洞在 Elastic Cloud Serverless 产品中已在公开披露前得到修复。 相关主题 Kibana 8.19.16, 9.3.5, 9.4.1 Security Update (ESA-2026-32) Kibana 8.19.14, 9.2.8, 9.3.3 Security Update (ESA-2026-24) Kibana 8.19.16 and 9.3.5 Security Update (ESA-2026-30) Kibana 8.19.16 Security Update (ESA-2026-39) Kibana 8.19.16 and 9.3.5 Security Update (ESA-2026-36) 页面信息 浏览量: 159 views 回复: 0 replies 活动: 19h ago 其他信息 作者: Ismismepaul Paul, Elastic Team Member 发布时间: 19h ago 标签: filebeat, docker, elastic-stack-security, metricbeat, elastic-stack-alerting 页脚信息 版权: © 2020, All Rights Reserved - Elasticsearch 商标: Elasticsearch 是 Elasticsearch BV 的商标,在美国和其他国家/地区注册。 许可证: Apache License, Apache Hadoop, Hadoop, HDFS 和黄色大象标志是 Apache 软件基金会在美国和/或其他国家的商标。