Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03424

Опубликовано: 08 мая 2023
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость программного пакета OpenSearch связана с реализацией правил детального управления доступом (безопасность на уровне документа, безопасность на уровне поля и маскирование полей), когда они некорректно применялись к запросам во время редких условий выполнения. Эксплуатация уязвимости может позволить нарушителю привести к неправильной авторизации доступа

Вендор

ООО «Ред Софт»
Amazon

Наименование ПО

РЕД ОС
OpenSearch
OpenSearch Security

Версия ПО

7.3 (РЕД ОС)
до 2.7.0 (OpenSearch)
до 1.3.10 (OpenSearch)
до 1.3.10 (OpenSearch Security)
от 2.0.0 до 2.7.0 (OpenSearch Security)

Тип ПО

Операционная система
ПО программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenSearch:
https://github.com/opensearch-project/security/security/advisories/GHSA-g8xc-6mf7-h28h
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00408
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-31141

CVSS3: 4.8
ubuntu
около 2 лет назад

OpenSearch is open-source software suite for search, analytics, and observability applications. Prior to versions 1.3.10 and 2.7.0, there is an issue with the implementation of fine-grained access control rules (document-level security, field-level security and field masking) where they are not correctly applied to the queries during extremely rare race conditions potentially leading to incorrect access authorization. For this issue to be triggered, two concurrent requests need to land on the same instance exactly when query cache eviction happens, once every four hours. OpenSearch 1.3.10 and 2.7.0 contain a fix for this issue.

nvd логотип

CVE-2023-31141

CVSS3: 4.8
nvd
около 2 лет назад

OpenSearch is open-source software suite for search, analytics, and observability applications. Prior to versions 1.3.10 and 2.7.0, there is an issue with the implementation of fine-grained access control rules (document-level security, field-level security and field masking) where they are not correctly applied to the queries during extremely rare race conditions potentially leading to incorrect access authorization. For this issue to be triggered, two concurrent requests need to land on the same instance exactly when query cache eviction happens, once every four hours. OpenSearch 1.3.10 and 2.7.0 contain a fix for this issue.

debian логотип

CVE-2023-31141

CVSS3: 4.8
debian
около 2 лет назад

OpenSearch is open-source software suite for search, analytics, and ob ...

redos логотип

ROS-20230615-02

CVSS3: 5.9
redos
около 2 лет назад

Уязвимость OpenSearch

github логотип

GHSA-g8xc-6mf7-h28h

CVSS3: 4.8
github
около 2 лет назад

OpenSearch issue with fine-grained access control during extremely rare race conditions

EPSS

Процентиль: 60%
0.00408
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2