Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en OpenSearch Data Prepper (CVE-2024-55886)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
12/12/2024
Última modificación:
12/12/2024

Descripción

OpenSearch Data Prepper es un componente del proyecto OpenSearch que acepta, filtra, transforma, enriquece y enruta datos a escala. Existe una vulnerabilidad en la fuente de registros de OpenTelemetry en Data Prepper a partir de la versión 2.1.0 y anteriores a la versión 2.10.2, donde algunos complementos de autenticación personalizados no realizan la autenticación. Esto permite que usuarios no autorizados ingieran datos de registros de OpenTelemetry en determinadas condiciones. Esta vulnerabilidad no afecta al proveedor de autenticación `http_basic` integrado en Data Prepper. Las canalizaciones que utilizan el proveedor de autenticación `http_basic` siguen requiriendo autenticación. La vulnerabilidad existe solo para las implementaciones personalizadas del complemento de autenticación `GrpcAuthenticationProvider` de Data Prepper que implementan el método `getHttpAuthenticationService()` en lugar de `getAuthenticationInterceptor()`. Data Prepper 2.10.2 contiene una solución para este problema. Quienes no puedan actualizar pueden usar el proveedor de autenticación `http_basic` integrado en Data Prepper y/o agregar un proxy de autenticación frente a las instancias de Data Prepper que ejecutan la fuente de registros de OpenTelemetry.