Cwperks

**Nome do software vulnerável e versões afetadas** OpenSearch Data Prepper, versões 2.1.0 a 2.10.1 **Descrição** Existe uma vulnerabilidade na fonte OpenTelemetry Logs do Data Prepper, na qual alguns plug-ins de autenticação personalizados não realizam a autenticação, permitindo que usuários não autorizados importem dados do OpenTelemetry Logs sob determinadas condições. Este problema não afeta o provedor de autenticação `http basic` integrado no Data Prepper. A vulnerabilidade existe apenas para implementações personalizadas do plug-in de autenticação `GrpcAuthenticationProvider` do Data Prepper que implementam o método `getHttpAuthenticationService()` em vez de `getAuthenticationInterceptor()`. **Recomendações** Para as versões 2.1.0 a 2.10.1, considere atualizar para o Data Prepper 2.10.2, que contém uma correção para este problema. Como solução alternativa temporária, use o provedor de autenticação `http basic` integrado no Data Prepper. Adicione um proxy de autenticação na frente das instâncias do Data Prepper que executam a fonte OpenTelemetry Logs para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do plugin de segurança do OpenSearch Dashboards anteriores à 1.3.19 Versões do plugin de segurança do OpenSearch Dashboards anteriores à 2.16.0 **Descrição** O problema está relacionado à validação inadequada do parâmetro `nextUrl`, o que pode levar a um redirecionamento externo durante o login, comprometendo potencialmente a segurança. Isso poderia permitir que um invasor remoto redirecionasse um usuário para um site malicioso. **Recomendações** Para versões anteriores à 1.3.19, atualize para a versão 1.3.19 para mitigar o risco. Para versões anteriores à 2.16.0, atualize para a versão 2.16.0 para mitigar o risco. Como solução temporária, considere restringir o acesso ao parâmetro `nextUrl` na funcionalidade de login até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do OpenSearch anteriores à 2.14 **Descrição** Uma falha no plug-in de relatórios do OpenSearch permite o acesso não autorizado a recursos de locatários privados, como notebooks. O sistema não verificava adequadamente se o usuário era o autor do recurso ao acessar recursos em um locatário privado, o que pode levar à divulgação de dados. Isso pode levar usuários não autorizados a ler, modificar ou assumir a propriedade de recursos privados, afetando a confidencialidade e a integridade dos recursos de locatários privados. **Recomendações** Para versões anteriores à 2.14, atualize para o OpenSearch 2.14 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a recursos de locatários privados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OpenSearch anteriores à 2.14 **Descrição** Uma falha nos plug-ins de observabilidade do OpenSearch permite o acesso não autorizado a recursos de locatários privados, como notebooks. O sistema não verificava adequadamente se o usuário era o autor do recurso ao acessar recursos em um locatário privado, levando à possível divulgação de dados. Essa falta de validação adequada do controle de acesso pode levar ao acesso não autorizado a dados, em que usuários autorizados podem obter visibilidade indevida de dados destinados a serem privados de outros usuários dentro da mesma instância do OpenSearch. **Recomendações** Para versões anteriores à 2.14, atualize para o OpenSearch 2.14 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a recursos de locatários privados para minimizar o risco de exploração. Evite compartilhar IDs de recursos de locatários privados, como IDs de notebooks, com usuários não autorizados para impedir o acesso potencial aos dados.