CVE-2026-33462
ŚrednieStreszczenie
Zidentyfikowano podatność typu przejście ścieżki w funkcjonalności zarządzania dashboardami w Kibanie. Użytkownik z ograniczonymi uprawnieniami może stworzyć dashboard z odpowiednio skonstruowanym identyfikatorem, co prowadzi do niezamierzonego usunięcia zasobów przez administratora.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane usunięcie kont użytkowników lub innych zasobów, jeśli administrator przypadkowo usunie złośliwie skonstruowany obiekt dashboardu.
Rekomendacja
Zaleca się przegląd i ograniczenie uprawnień użytkowników do tworzenia dashboardów oraz monitorowanie działań administratorów w celu zapobiegania nieautoryzowanym operacjom.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability was identified in Kibana's dashboard management functionality. An authenticated user with limited permissions could create a dashboard with a specially crafted identifier. When an administrator subsequently attempts to delete this dashboard through the Kibana interface, the deletion request is redirected to an unintended internal endpoint, potentially resulting in the unauthorized deletion of user accounts or other resources. Exploitation requires an administrator to perform a delete action on the maliciously crafted dashboard object.

