CVE-2024-41808

Versões do OpenObserve até a 0.9.1

A plataforma de observabilidade de código aberto OpenObserve apresenta uma falha de segurança na qual não sanitiza as entradas do usuário no menu de seleção de filtros, o que pode levar à apropriação total da conta. O front-end utiliza DOMPurify ou modelos Vue para escapar de scripts entre sites (XSS) em muitas áreas, mas certas partes carecem dessa proteção. Combinando a falta de proteção com o tratamento inseguro da autenticação, um usuário mal-intencionado pode ser capaz de assumir o controle da conta de qualquer vítima se seguir as etapas de exploração.

Para versões até a 0.9.1, como solução temporária, considere restringir o acesso ao menu de seleção de filtros até que um patch esteja disponível. Além disso, revise o tratamento da autenticação para garantir que seja seguro. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.