OpenObserve — это облачная платформа наблюдения. Уязвимость в конечной точке управления пользователями `/api/{org_id}/users/{email_id}` позволяет пользователю с ролью «Администратор» удалить пользователя «Root» из организации. Это нарушает предполагаемую иерархию привилегий, позволяя пользователю без полномочий root удалить учетную запись с самым высоким уровнем привилегий.
Из-за недостаточной проверки ролей функция «remove_user_from_org» не мешает пользователю «Администратор» удалить пользователя «Корень». В результате злоумышленник с ролью «Администратор» может удалить критически важных «корневых» пользователей, потенциально получая эффективный полный контроль за счет удаления учетных записей с самым высоким уровнем привилегий. Затронута конечная точка `DELETE /api/{org_id}/users/{email_id}`.
Эта проблема решена в версии 0.14.1, и всем пользователям рекомендуется выполнить обновление. Известных способов обхода этой уязвимости не существует.
Показать оригинальное описание (EN)
OpenObserve is a cloud-native observability platform. A vulnerability in the user management endpoint `/api/{org_id}/users/{email_id}` allows an "Admin" role user to remove a "Root" user from the organization. This violates the intended privilege hierarchy, enabling a non-root user to remove the highest-privileged account. Due to insufficient role checks, the `remove_user_from_org` function does not prevent an "Admin" user from removing a "Root" user. As a result, an attacker with an "Admin" role can remove critical "Root" users, potentially gaining effective full control by eliminating the highest-privileged accounts. The `DELETE /api/{org_id}/users/{email_id}` endpoint is affected. This issue has been addressed in release version `0.14.1` and all users are advised to upgrade. There are no known workarounds for this vulnerability.
Характеристики атаки
Последствия
Строка CVSS v3.1