OpenSearch权限提升漏洞
漏洞等级:严重(9.8)
漏洞类型:权限提升
漏洞编号:CVE-2022-41918
影响版本:OpenSearch<1.3.7 2.0.0<=OpenSearch<2.4.0
2022年11月16日,OpenSearch 发布了新版本,修复了一处权限提升漏洞。
该漏洞源于细粒度访问控制规则(文档级安全性、字段级安全性和字段屏蔽)的实现存在问题,
未能正确地应用于支持数据流的索引,可能导致错误的访问授权。
攻击者可利用该漏洞对目标有针对性的发起攻击,危害站点系统安全。
修复建议:1. 建议受影响的OpenSearch客户尽快安装 OpenSearch的相关更新版本,下载链接:
https://github.com/opensearch-project/OpenSearch/releases
2. 对服务进行权限控制,只允许受信任的主机访问集群服务器。
2022/11/25 16:30
新闻资讯
NEWS