CVE

Vulnerabilidad en OpenObserve (CVE-2024-41808)

Severidad:

ALTA

Type:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

25/07/2024

Última modificación:

26/07/2024

Descripción

La plataforma de observabilidad de código abierto OpenObserve brinda la capacidad de filtrar registros en un panel por los valores cargados en un registro determinado. Sin embargo, todas las versiones de la plataforma hasta la 0.9.1 no sanitizan la entrada del usuario en el menú de selección de filtros, lo que puede resultar en una apropiación total de la cuenta. Se ha observado que el front-end utiliza `DOMPurify` o plantillas Vue para escapar ampliamente del cross-site scripting (XSS), sin embargo, ciertas áreas del front-end carecen de esta protección XSS. Al combinar la protección faltante con el manejo de autenticación inseguro que utiliza el front-end, un usuario malintencionado puede hacerse cargo de la cuenta de cualquier víctima siempre que cumpla con los pasos de explotación. Al momento de la publicación, no hay ninguna versión parcheada disponible.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Severidad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/openobserve/openobserve/security/advisories/GHSA-hx23-g7m8-h76j