OpenSearch权限提升漏洞

漏洞等级：严重(9.8)

漏洞类型：权限提升

漏洞编号：CVE-2022-41918

影响版本：OpenSearch<1.3.7  2.0.0<=OpenSearch<2.4.0

2022年11月16日，OpenSearch 发布了新版本，修复了一处权限提升漏洞。

该漏洞源于细粒度访问控制规则（文档级安全性、字段级安全性和字段屏蔽）的实现存在问题，

未能正确地应用于支持数据流的索引，可能导致错误的访问授权。

攻击者可利用该漏洞对目标有针对性的发起攻击，危害站点系统安全。

修复建议：1. 建议受影响的OpenSearch客户尽快安装 OpenSearch的相关更新版本，下载链接：

https://github.com/opensearch-project/OpenSearch/releases

2. 对服务进行权限控制，只允许受信任的主机访问集群服务器。

2022/11/25 16:30