0x00 漏洞概述
CVE ID | CVE-2022-41918 | 發現時間 | 2022-11-28 |
類 型 | 授權不當 | 等 級 | 嚴重 |
遠端利用 | 是 | 影響範圍 | |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 |
0x01 漏洞詳情
OpenSearch 是一個社區驅動的、Apache 2.0 許可的開源搜尋和分析套件,可以輕鬆地攝取、搜尋、視覺化和分析資料。
11月16日,OpenSearch項目發佈安全公告,修復了OpenSearch中的一個授權不當漏洞(CVE-2022-41918),該漏洞的CVSSv3評分最高為9.8。
在受影響的OpenSearch版本中,細粒度訪問控制規則不能正確地應用於支持資料流的索引,可能導致錯誤的訪問授權。
影響範圍
OpenSearch < 1.3.7
2.0.0 <= OpenSearch < 2.4.0
0x02 安全建議
目前該漏洞已經修復,受影響的使用者可升級到以下版本:
OpenSearch >= 1.3.7
OpenSearch >= 2.4.0
下載連結:
https://github.com/opensearch-project/OpenSearch/tags
0x03 參考連結
https://github.com/opensearch-project/security/security/advisories/GHSA-wmx7-x4jp-9jgg
https://opensearch.org/
https://nvd.nist.gov/vuln/detail/CVE-2022-41918
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-11-28 | 首次發佈 |
