远程主机上安装的 Kibana 版本低于 8.19.16 或 9.3.5。因此，如公告、ESA-2026-33、ESA-2026-34ESA-2026-36和公告所述ESA-2026-30，会受到多个漏洞的影响。

  - 在 Kibana 的仪表盘管理功能中发现一个路径遍历漏洞。拥有有限权限的经身份验证用户可以使用特制的标识符创建仪表盘。
    当管理员随后尝试通过 Kibana 界面删除此仪表盘时，删除请求会重定向到非预期的内部端点，从而可能导致未经授权地删除用户帐户或其他资源。要利用此漏洞，需要管理员对恶意构建的仪表盘对象执行删除操作。（CVE-2026-33462）

  - 在 Kibana 中对到期或终止后的资源操作 （CWE-672） 可导致未经授权的信息泄露。到期时间戳的验证方式中存在逻辑错误，允许有时间限制的访问令牌在其预期的有效期之后仍然可用，从而允许拥有令牌的未经认证的执行者在到期后检索关联的内容。（CVE-2026-33463）

  - Kibana 中不受控制的资源消耗 （CWE-400） 可通过过量分配导致拒绝服务 （CAPEC-130）。经身份验证的低特权用户可提交含有深度链接函数调用的特制 Timelion 可视化表达式，造成 Kibana 消耗的内存量呈指数级增长。生成的数据结构会无限增长，耗尽可用内存，并导致 Kibana 服务崩溃并变得不可供所有用户使用。
    (CVE-2026-42399)

  - 在 Kibana 中网页生成期间，未正确抵消输入 （CWE-79），可能会造成存储的 HTML 注入。拥有 Elasticsearch 索引写入访问权限的用户可保留特制的标记，而随后另一位用户通过受影响的 Kibana 视图呈现时，未得到充分清理。
    成功利用此漏洞可导致未经授权的 UI 操纵和从查看用户的浏览器会话发出出站网络请求。（CVE-2026-42401）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Kibana < / < 多个漏洞（ESA-2026-30 / ESA-2026-33 / ESA-2026-34 / ESA-2026-36） 9.3.59.0.x8.19.168.x

high Nessus 插件 ID 318721

版本 1.4

版本 1.3

版本 1.2

版本 1.1

版本 1.4 Jun 8, 2026, 10:45 AM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") Exploit attributes ("Exploit available" set to "False") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin Feed: 202606081045
版本 1.3 Jun 6, 2026, 1:00 AM IAVM reference Plugin Feed: 202606060100
版本 1.2 Jun 5, 2026, 1:04 PM Plugin metadata (Add IAVM Info) Plugin Feed: 202606051304
版本 1.1 Jun 5, 2026, 7:05 AM New Plugin Feed: 202606050705

检测

Kibana < / < 多个漏洞 （ESA-2026-30 / ESA-2026-33 / ESA-2026-34 / ESA-2026-36） 9.3.59.0.x8.19.168.x

high Nessus 插件 ID 318721

版本 1.4

版本 1.3

版本 1.2

版本 1.1

Kibana < / < 多个漏洞（ESA-2026-30 / ESA-2026-33 / ESA-2026-34 / ESA-2026-36） 9.3.59.0.x8.19.168.x