Cehenkle

**Name of the Vulnerable Software and Affected Versions** OpenSearch versions prior to 1.3.14 OpenSearch versions prior to 2.11.0 **Description** There is an issue with the implementation of tenant permissions in OpenSearch Dashboards where authenticated users with read-only access to a tenant can perform create, edit and delete operations on index metadata of dashboards and visualizations in that tenant, potentially rendering them unavailable. This issue does not affect index data, only metadata. Dashboards correctly enforces read-only permissions when indexing and updating documents. This issue does not provide additional read access to data users don’t already have. **Recommendations** For versions prior to 1.3.14, update to version 1.3.14 or later to resolve the issue. For versions prior to 2.11.0, update to version 2.11.0 or later to resolve the issue. As a temporary workaround, consider disabling the tenants functionality for the cluster until a patch is available.

**Name of the Vulnerable Software and Affected Versions** OpenSearch Security versions prior to 1.3.9 OpenSearch Security versions prior to 2.6.0 **Description** OpenSearch Security is a plugin for OpenSearch that offers encryption, authentication, and authorization. There is an observable discrepancy in the authentication response time between calls where the user provided exists and calls where it does not. This issue only affects calls using the internal basic identity provider (IdP), and not other externally configured IdPs. **Recommendations** For versions prior to 1.3.9, update to version 1.3.9 or later. For versions prior to 2.6.0, update to version 2.6.0 or later. As there are no workarounds, applying the patch is the recommended course of action.

**Name of the Vulnerable Software and Affected Versions** OpenSearch versions prior to 1.3.8 OpenSearch versions prior to 2.6.0 **Description** There is an issue with the application of document and field level restrictions in the Anomaly Detection plugin, where users with the Anomaly Detector role can read aggregated numerical data of fields that are otherwise restricted to them. This issue only affects authenticated users who were previously granted read access to the indexes containing the restricted fields. **Recommendations** For versions prior to 1.3.8, update to version 1.3.8 or later to resolve the issue. For versions prior to 2.6.0, update to version 2.6.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** OpenSearch versions 1.0.0 through 1.3.7 OpenSearch versions 2.0.0 through 2.4.1 **Description** OpenSearch uses JWTs to store role claims obtained from the Identity Provider (IdP) when the authentication backend is SAML or OpenID Connect. There is an issue in how those claims are processed from the JWTs where the leading and trailing whitespace is trimmed, allowing users to potentially claim roles they are not assigned to if any role matches the whitespace-stripped version of the roles they are a member of. This issue is only present for authenticated users, and it requires either the existence of roles that match, not considering leading/trailing whitespace, or the ability for users to create said matching roles. In addition, the Identity Provider must allow leading and trailing spaces in role names. **Recommendations** Upgrade to OpenSearch 1.3.8 for versions 1.0.0 through 1.3.7. Upgrade to OpenSearch 2.5.0 for versions 2.0.0 through 2.4.1.

**Name of the Vulnerable Software and Affected Versions** OpenSearch versions 1.0.0 through 1.3.7 OpenSearch versions 2.0.0 through 2.4.1 **Description** There is an issue in the implementation of field-level security (FLS) and field masking where rules written to explicitly exclude fields are not correctly applied for certain queries that rely on their auto-generated `.keyword` fields. This issue is only present for authenticated users with read access to the indexes containing the restricted fields, which may expose data that would otherwise not be accessible to the user. **Recommendations** For OpenSearch versions 1.0.0 through 1.3.7, upgrade to OpenSearch 1.3.8. For OpenSearch versions 2.0.0 through 2.4.1, upgrade to OpenSearch 2.5.0. As a temporary workaround for users unable to upgrade, consider writing explicit exclusion rules to grant explicit access instead, as policies authored in this way are not subject to this issue.

**Nome do software vulnerável e versões afetadas** Versões do OpenSearch anteriores à 1.3.7 Versões do OpenSearch anteriores à 2.4.0 **Descrição** Existe um problema na implementação de regras de controle de acesso refinadas, incluindo segurança no nível do documento, segurança no nível do campo e mascaramento de campos, nas quais elas não são aplicadas corretamente aos índices que sustentam os fluxos de dados. Isso pode levar a uma autorização de acesso incorreta. O problema só pode ser desencadeado por usuários autenticados autorizados a ler os fluxos de dados respaldados pelos índices afetados. Os usuários privilegiados existentes não podem acessar índices aleatórios dentro desses clusters; eles só podem acessar índices para os quais já receberam permissão. **Recomendações** Para versões anteriores à 1.3.7, atualize para o OpenSearch 1.3.7 ou posterior. Para versões anteriores à 2.4.0, atualize para o OpenSearch 2.4.0 ou posterior. Como solução alternativa temporária, considere restringir o acesso a fluxos de dados confidenciais até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do OpenSearch anteriores à 1.3.7 Versões do OpenSearch anteriores à 2.4.0 **Descrição** Uma falha no OpenSearch permite que determinadas consultas especialmente criadas retornem uma resposta contendo a primeira linha de texto de arquivos arbitrários. A lista de arquivos potencialmente afetados limita-se a arquivos de texto com permissões de leitura permitidas na configuração da política do Java Security Manager. **Recomendações** Para versões do OpenSearch anteriores à 1.3.7, atualize para a versão 1.3.7 ou posterior. Para versões do OpenSearch anteriores à 2.4.0, atualize para a versão 2.4.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Plugin OpenSearch Notifications, versões 2.0.0 a 2.2.0 **Descrição** Uma possível vulnerabilidade do tipo Server-Side Request Forgery (SSRF) no plugin OpenSearch Notifications poderia permitir que um usuário com privilégios já existente enumerasse serviços em escuta ou interagisse com recursos configurados por meio de solicitações HTTP, excedendo o escopo pretendido do plugin. A vulnerabilidade afeta a capacidade do plugin de enviar notificações por meio de vários canais, incluindo e-mail, Slack, Amazon Chime e webhook personalizado. **Recomendações** Para as versões 2.0.0 a 2.2.0 do OpenSearch Notifications Plugin, atualize para o OpenSearch 2.2.1 ou posterior para resolver o problema. No momento, não há informações sobre outras soluções alternativas para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do opensearch-ruby anteriores à 2.0.1 **Descrição** O problema está relacionado ao uso da função `YAML.load` do Ruby em vez de `YAML.safe load` no opensearch-ruby, o que pode levar a uma desserialização insegura usando `YAML.load` se a resposta for do tipo YAML. Um invasor precisa ter controle sobre um servidor opensearch e convencer a vítima a se conectar a ele para explorar essa vulnerabilidade. **Recomendações** Para versões anteriores à 2.0.1, atualize para a versão 2.0.1 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de respostas YAML até que o problema seja resolvido. Restrinja o acesso aos servidores opensearch para minimizar o risco de exploração.