Vulnerabilidad en OpenSearch (CVE-2023-45807)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/10/2023
Última modificación:
20/10/2023
Descripción
OpenSearch es un fork de código abierto impulsado por la comunidad de Elasticsearch y Kibana luego del cambio de licencia a principios de 2021. Existe un problema con la implementación de permisos de inquilinos en OpenSearch Dashboards donde los usuarios autenticados con acceso de solo lectura a un inquilino pueden realizar tareas de creación, editar y eliminar operaciones en metadatos de índice de paneles y visualizaciones en ese inquilino, lo que podría hacer que no estén disponibles. Este problema no afecta a los datos del índice, sólo a los metadatos. Dashboards aplica correctamente los permisos de solo lectura al indexar y actualizar documentos. Este problema no proporciona acceso de lectura adicional a datos que los usuarios aún no tienen. Este problema se puede mitigar deshabilitando la funcionalidad de inquilinos para el clúster. Las versiones 1.3.14 y 2.11.0 contienen una solución para este problema.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:amazon:opensearch:*:*:*:*:*:docker:*:* | 1.3.14.0 (excluyendo) | |
| cpe:2.3:a:amazon:opensearch:*:*:*:*:*:maven:*:* | 1.3.14.0 (excluyendo) | |
| cpe:2.3:a:amazon:opensearch:*:*:*:*:*:docker:*:* | 2.0.0 (incluyendo) | 2.11.0.0 (excluyendo) |
| cpe:2.3:a:amazon:opensearch:*:*:*:*:*:maven:*:* | 2.0.0 (incluyendo) | 2.11.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página