Opensearch
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.00821
Распределение по критичности
Критический
0
Высокий
2
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): opensearch
Топ уязвимостей
CVE-2023-23612OpenSearch — это поисковая система с открытым исходным кодом, распределенная и RESTful. OpenSearch использует JWT для хранения утверждений ролей, полученных от поставщика удостоверений (IdP), когда в качестве серверной части аутентификации используется SAML или OpenID Connect. Существует проблема в том, как эти утверждения обрабатываются из JWT, где начальные и конечные пробелы обрезаются, что позволяет пользователям потенциально требовать роли, которые им не назначены, если какая-либо роль соответствует версии ролей, из которой удалены пробелы, членом которой они являются. Эта проблема присутствует только для аутентифицированных пользователей и требует либо наличия ролей, которые совпадают, не учитывая начальные/конечные пробелы, либо возможности для пользователей создавать указанные совпадающие роли. Кроме того, поставщик удостоверений должен разрешать начальные и конечные пробелы в именах ролей. OpenSearch 1.0.0-1.3.7 и 2.0.0-2.4.1 затронуты. Пользователям рекомендуется обновиться до OpenSearch 1.3.8 или 2.5.0. Обходных путей для этой проблемы нет.
CVE-2025-9624Уязвимость в OpenSearch позволяет злоумышленникам вызывать отказ в обслуживании (DoS), отправляя сложные входы query_string.
Эта проблема затрагивает все версии OpenSearch между 3.0.0 и < 3.3.0 и OpenSearch < 2.19.4.
CVE-2023-23613OpenSearch — это поисковая система с открытым исходным кодом, распределенная и RESTful. В затронутых версиях существует проблема в реализации безопасности на уровне полей (FLS) и маскировки полей, где правила, написанные для явного исключения полей, неправильно применяются для определенных запросов, которые полагаются на автоматически сгенерированные поля .keyword. Эта проблема присутствует только для аутентифицированных пользователей с доступом для чтения к индексам, содержащим ограниченные поля. Это может привести к раскрытию данных, которые в противном случае могут быть недоступны для пользователя. OpenSearch 1.0.0-1.3.7 и 2.0.0-2.4.1 затронуты. Пользователям рекомендуется обновиться до OpenSearch 1.3.8 или 2.5.0. Пользователи, которые не могут обновиться, могут написать явные правила исключения в качестве обходного пути. Политики, созданные таким образом, не подвержены этой проблеме.
CVE-2022-41918OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом. Существует проблема с реализацией детальных правил контроля доступа (безопасность на уровне документов, безопасность на уровне полей и маскирование полей), когда они некорректно применяются к индексам, которые поддерживают потоки данных, что потенциально приводит к неправильной авторизации доступа. OpenSearch 1.3.7 и 2.4.0 содержат исправление для этой проблемы. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой проблемы.
CVE-2023-31141OpenSearch — это набор программного обеспечения с открытым исходным кодом для приложений поиска, аналитики и наблюдаемости. До версий 1.3.10 и 2.7.0 существует проблема с реализацией детализированных правил контроля доступа (безопасность на уровне документов, безопасность на уровне полей и маскирование полей), когда они некорректно применяются к запросам во время чрезвычайно редких состояний гонки, что потенциально приводит к неправильной авторизации доступа. Чтобы эта проблема была вызвана, два одновременных запроса должны попасть на один и тот же экземпляр ровно в момент вытеснения кеша запросов, что происходит раз в четыре часа. OpenSearch 1.3.10 и 2.7.0 содержат исправление этой проблемы.
CVE-2023-45807OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом, возникший после изменения лицензии в начале 2021 года. Существует проблема с реализацией разрешений для тенантов в OpenSearch Dashboards, когда аутентифицированные пользователи с доступом только для чтения к тенанту могут выполнять операции создания, редактирования и удаления метаданных индексов информационных панелей и визуализаций в этом тенанте, что потенциально делает их недоступными. Эта проблема не влияет на данные индекса, только на метаданные. Dashboards правильно применяет разрешения только для чтения при индексации и обновлении документов. Эта проблема не предоставляет дополнительный доступ на чтение к данным, которые у пользователей еще нет. Эту проблему можно смягчить, отключив функциональность тенантов для кластера. Версии 1.3.14 и 2.11.0 содержат исправление для этой проблемы.
CVE-2022-41917OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом. OpenSearch позволяет пользователям указывать локальный файл при определении текстовых анализаторов для обработки данных для текстового анализа. Проблема в реализации этой функции позволяет определенным специально созданным запросам возвращать ответ, содержащий первую строку текста из произвольных файлов. Список потенциально затронутых файлов ограничен текстовыми файлами с разрешениями на чтение, разрешенными в конфигурации политики Java Security Manager. OpenSearch версии 1.3.7 и 2.4.0 содержат исправление для этой проблемы. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой проблемы.