CVE-2024-55954

Nome do Software Vulnerável e Versões Afetadas Versões do OpenObserve anteriores à 0.14.1

Descrição Uma vulnerabilidade no endpoint de gerenciamento de usuários /api/{org id}/users/{email id} permite que um usuário com a função "Admin" remova um usuário "Root" da organização, violando a hierarquia de privilégios pretendida. Isso ocorre devido a verificações de função insuficientes na função remove user from org, permitindo que um usuário não root remova a conta com maiores privilégios. Como resultado, um atacante com a função "Admin" pode remover usuários "Root" críticos, potencialmente obtendo controle total efetivo ao eliminar as contas com maiores privilégios. O endpoint DELETE /api/{org id}/users/{email id} é afetado.

Recomendações Para versões do OpenObserve anteriores à 0.14.1, atualize para a versão 0.14.1 para corrigir o problema. Como solução temporária, considere restringir o acesso à função remove user from org ou ao endpoint /api/{org id}/users/{email id} para impedir que usuários "Admin" removam usuários "Root" até que a atualização seja aplicada.