Opensearch
Уязвимости
19
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01288
Распределение по критичности
Критический
0
Высокий
5
Средний
14
Низкий
0
Затронутые диапазоны версий
1.0.0–1.3.71.0.0–1.3.8< 1.3.10< 1.3.14.0< 1.3.7< 1.3.9< 2.0.2< 3.3.0
Также сопоставлено как (исходные строки): opensearch,opensearch_security
Топ уязвимостей
CVE-2023-23612OpenSearch — это поисковая система с открытым исходным кодом, распределенная и RESTful. OpenSearch использует JWT для хранения утверждений ролей, полученных от поставщика удостоверений (IdP), когда в качестве серверной части аутентификации используется SAML или OpenID Connect. Существует проблема в том, как эти утверждения обрабатываются из JWT, где начальные и конечные пробелы обрезаются, что позволяет пользователям потенциально требовать роли, которые им не назначены, если какая-либо роль соответствует версии ролей, из которой удалены пробелы, членом которой они являются. Эта проблема присутствует только для аутентифицированных пользователей и требует либо наличия ролей, которые совпадают, не учитывая начальные/конечные пробелы, либо возможности для пользователей создавать указанные совпадающие роли. Кроме того, поставщик удостоверений должен разрешать начальные и конечные пробелы в именах ролей. OpenSearch 1.0.0-1.3.7 и 2.0.0-2.4.1 затронуты. Пользователям рекомендуется обновиться до OpenSearch 1.3.8 или 2.5.0. Обходных путей для этой проблемы нет.
CVE-2022-31115opensearch-ruby — это управляемая сообществом вилка elasticsearch-ruby с открытым исходным кодом. В версиях до 2.0.1 функция ruby `YAML.load` использовалась вместо `YAML.safe_load`. В результате opensearch-ruby 2.0.0 и более ранние версии могут привести к небезопасной десериализации с использованием YAML, если ответ имеет тип YAML. Злоумышленник должен контролировать сервер opensearch и убедить жертву подключиться к нему, чтобы использовать эту уязвимость. Проблема была исправлена в gems opensearch-ruby версии 2.0.1. Пользователям рекомендуется обновиться. Известных обходных путей решения этой проблемы нет.
BDU:2025-04295Уязвимость программного пакета OpenSearch, связанная с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
CVE-2025-9624Уязвимость в OpenSearch позволяет злоумышленникам вызывать отказ в обслуживании (DoS), отправляя сложные входы query_string.
Эта проблема затрагивает все версии OpenSearch между 3.0.0 и < 3.3.0 и OpenSearch < 2.19.4.
CVE-2022-35980OpenSearch Security - это плагин для OpenSearch, который предлагает шифрование, аутентификацию и авторизацию. Версии 2.0.0.0 и 2.1.0.0 плагина безопасности подвержены уязвимости раскрытия информации. Запросы к кластеру OpenSearch, настроенному с расширенными функциями контроля доступа, такими как безопасность на уровне документов (DLS), безопасность на уровне полей (FLS) и/или маскирование полей, не будут фильтроваться, когда шаблон поиска запроса соответствует индексу с псевдонимом. OpenSearch Dashboards по умолчанию создает псевдоним для `.kibana`, поэтому фильтры с шаблоном индекса `*` для ограничения доступа к документам или полям не будут применяться. Эта проблема позволяет запросам получать доступ к конфиденциальной информации, когда клиент принял меры для ограничения доступа к этой конкретной информации. OpenSearch 2.2.0, который совместим с OpenSearch Security 2.2.0.0, содержит исправление для этой проблемы. Не рекомендуется использовать обходной путь.
CVE-2023-23613OpenSearch — это поисковая система с открытым исходным кодом, распределенная и RESTful. В затронутых версиях существует проблема в реализации безопасности на уровне полей (FLS) и маскировки полей, где правила, написанные для явного исключения полей, неправильно применяются для определенных запросов, которые полагаются на автоматически сгенерированные поля .keyword. Эта проблема присутствует только для аутентифицированных пользователей с доступом для чтения к индексам, содержащим ограниченные поля. Это может привести к раскрытию данных, которые в противном случае могут быть недоступны для пользователя. OpenSearch 1.0.0-1.3.7 и 2.0.0-2.4.1 затронуты. Пользователям рекомендуется обновиться до OpenSearch 1.3.8 или 2.5.0. Пользователи, которые не могут обновиться, могут написать явные правила исключения в качестве обходного пути. Политики, созданные таким образом, не подвержены этой проблеме.
BDU:2025-04294Уязвимость программного пакета OpenSearch, связанная с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
BDU:2025-08195Уязвимость программного пакета OpenSearch связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, выполнить произвольный код
CVE-2022-41918OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом. Существует проблема с реализацией детальных правил контроля доступа (безопасность на уровне документов, безопасность на уровне полей и маскирование полей), когда они некорректно применяются к индексам, которые поддерживают потоки данных, что потенциально приводит к неправильной авторизации доступа. OpenSearch 1.3.7 и 2.4.0 содержат исправление для этой проблемы. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой проблемы.
BDU:2024-09420Уязвимость программного пакета OpenSearch связанна с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на вредоносный сайт
CVE-2023-31141OpenSearch — это набор программного обеспечения с открытым исходным кодом для приложений поиска, аналитики и наблюдаемости. До версий 1.3.10 и 2.7.0 существует проблема с реализацией детализированных правил контроля доступа (безопасность на уровне документов, безопасность на уровне полей и маскирование полей), когда они некорректно применяются к запросам во время чрезвычайно редких состояний гонки, что потенциально приводит к неправильной авторизации доступа. Чтобы эта проблема была вызвана, два одновременных запроса должны попасть на один и тот же экземпляр ровно в момент вытеснения кеша запросов, что происходит раз в четыре часа. OpenSearch 1.3.10 и 2.7.0 содержат исправление этой проблемы.
BDU:2023-03424Уязвимость программного пакета OpenSearch связана с реализацией правил детального управления доступом (безопасность на уровне документа, безопасность на уровне поля и маскирование полей), когда они некорректно применялись к запросам во время редких условий выполнения. Эксплуатация уязвимости может позволить нарушителю привести к неправильной авторизации доступа
CVE-2023-45807OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом, возникший после изменения лицензии в начале 2021 года. Существует проблема с реализацией разрешений для тенантов в OpenSearch Dashboards, когда аутентифицированные пользователи с доступом только для чтения к тенанту могут выполнять операции создания, редактирования и удаления метаданных индексов информационных панелей и визуализаций в этом тенанте, что потенциально делает их недоступными. Эта проблема не влияет на данные индекса, только на метаданные. Dashboards правильно применяет разрешения только для чтения при индексации и обновлении документов. Эта проблема не предоставляет дополнительный доступ на чтение к данным, которые у пользователей еще нет. Эту проблему можно смягчить, отключив функциональность тенантов для кластера. Версии 1.3.14 и 2.11.0 содержат исправление для этой проблемы.
BDU:2023-08057Уязвимость программного пакета OpenSearch, связанная с ненадлежащим сохранением разрешений. Эксплуатация уязвимости может позволить нарушителю, оказать воздействие на целостность данных
CVE-2023-25806OpenSearch Security — это плагин для OpenSearch, который предлагает шифрование, аутентификацию и авторизацию. Существует наблюдаемое расхождение во времени ответа аутентификации между вызовами, где предоставленный пользователь существует, и вызовами, где его нет. Эта проблема затрагивает только вызовы, использующие внутреннего базового поставщика удостоверений (IdP), а не другие внешне настроенные IdP. Патчи были выпущены в версиях 1.3.9 и 2.6.0, обходных путей нет.
BDU:2025-04194Уязвимость программного пакета OpenSearch связана с раскрытием информации через несоответствие. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
CVE-2023-23933Обнаружение аномалий OpenSearch выявляет нетипичные данные и получает автоматические уведомления. Существует проблема с применением ограничений на уровне документов и полей в плагине обнаружения аномалий, когда пользователи с ролью детектора аномалий могут читать агрегированные числовые данные (например, средние значения, суммы) полей, которые в противном случае для них ограничены. Эта проблема затрагивает только аутентифицированных пользователей, которым ранее был предоставлен доступ на чтение к индексам, содержащим ограниченные поля. Эта проблема была исправлена в версиях 1.3.8 и 2.6.0. Известных обходных решений этой проблемы нет.
CVE-2022-41917OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом. OpenSearch позволяет пользователям указывать локальный файл при определении текстовых анализаторов для обработки данных для текстового анализа. Проблема в реализации этой функции позволяет определенным специально созданным запросам возвращать ответ, содержащий первую строку текста из произвольных файлов. Список потенциально затронутых файлов ограничен текстовыми файлами с разрешениями на чтение, разрешенными в конфигурации политики Java Security Manager. OpenSearch версии 1.3.7 и 2.4.0 содержат исправление для этой проблемы. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой проблемы.
BDU:2025-04292Уязвимость программного пакета OpenSearch, связанная с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации