OpenObserve Privilege Escalation Vulnerability in Users API (CVE-2024-24830)
CVE编号
CVE-2024-24830利用情况
暂无补丁情况
N/A披露时间
2024-02-09漏洞描述
OpenObserve是一个专为日志、指标、追踪和分析而设计的可观察性平台,其能够处理PB级的数据规模。在"/api/{org_id}/users"端点中发现了一个漏洞。该漏洞允许认证的普通用户('member')以提升权限的方式向组织中添加具有'root'角色的新用户。该问题绕过了角色分配的安全控制。漏洞存在于用户创建过程中,负载内容没有对用户角色进行验证。普通用户可以篡改负载内容以分配根级别的权限。该漏洞导致未经授权的权限提升,严重损害了应用程序的基于角色的访问控制系统。它允许未经授权对应用程序资源进行控制,并对数据安全构成风险。所有用户,特别是那些担任管理员角色的用户,都受到影响。该问题已在版本0.8.0中得到修复。建议用户进行升级。针对该漏洞目前没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/openobserve/openobserve/security/advisories/GHSA-hfxx-g56f-8h5v |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-269 | 特权管理不恰当 |
| CWE-272 | 最小特权原则违背 |
| CWE-284 | 访问控制不恰当 |
| CWE-285 | 授权机制不恰当 |
| CWE-287 | 认证机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论