OpenSearch权限提升漏洞

 

 

 

漏洞等级:严重(9.8)

 

漏洞类型:权限提升

 

漏洞编号:CVE-2022-41918

 

影响版本:OpenSearch<1.3.7  2.0.0<=OpenSearch<2.4.0

 

2022年11月16日,OpenSearch 发布了新版本,修复了一处权限提升漏洞。

该漏洞源于细粒度访问控制规则(文档级安全性、字段级安全性和字段屏蔽)的实现存在问题,

未能正确地应用于支持数据流的索引,可能导致错误的访问授权。

攻击者可利用该漏洞对目标有针对性的发起攻击,危害站点系统安全。

 

修复建议:1. 建议受影响的OpenSearch客户尽快安装 OpenSearch的相关更新版本,下载链接:

https://github.com/opensearch-project/OpenSearch/releases

2. 对服务进行权限控制,只允许受信任的主机访问集群服务器。

 

 

 

2022/11/25 16:30

新闻资讯

NEWS

贝格通-保障核心业务系统安全运行    OpenSearch权限提升漏洞