Katalog CVE

CVE-2026-49088

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność CVE-2026-49088 w Kibanie umożliwia wstawianie wrażliwych informacji do plików dziennika. Gdy opcjonalne monitorowanie wydajności aplikacji (APM) jest włączone, wrażliwe wartości nagłówków żądań mogą być rejestrowane w logach aplikacji.

Ocena ryzyka

Operatorzy mający dostęp do logów mogą uzyskać dostęp do poufnych danych, takich jak tokeny czy klucze API, co prowadzi do naruszenia poufności i potencjalnego wycieku informacji.

Rekomendacja

Zaleca się wyłączenie opcjonalnego monitorowania APM, jeśli nie jest wymagane, lub skonfigurowanie logowania w sposób wykluczający wrażliwe nagłówki. Należy również ograniczyć dostęp do plików dziennika tylko do upoważnionych osób.

Oryginalny opis (angielski, źródło NVD)

Insertion of Sensitive Information into Log File (CWE-532) in Kibana can lead to information disclosure. When the optional application performance monitoring (APM) instrumentation is enabled, sensitive request header values could be recorded in application logs, where they may be accessible to operators with log access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS