Vulnerabilidad en OpenObserve (CVE-2024-24830)

OpenObserve es una plataforma de observabilidad creada específicamente para registros, métricas, seguimientos y análisis, manipulada para funcionar a escala de petabytes. Se ha identificado una vulnerabilidad en el endpoint "/api/{org_id}/users". Esta vulnerabilidad permite que cualquier usuario normal autenticado ("member") agregue nuevos usuarios con privilegios elevados, incluido el rol "root", a una organización. Este problema elude los controles de seguridad previstos para las asignaciones de roles. La vulnerabilidad reside en el proceso de creación de usuarios, donde el payload no valida los roles de los usuarios. Un usuario normal puede manipular el payload para asignar privilegios de nivel raíz. Esta vulnerabilidad conduce a una escalada de privilegios no autorizada y compromete significativamente el sistema de control de acceso basado en roles de la aplicación. Permite un control no autorizado sobre los recursos de la aplicación y supone un riesgo para la seguridad de los datos. Todos los usuarios, en particular aquellos con funciones administrativas, se ven afectados. Este problema se solucionó en la versión 0.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.