PT-2026-41472 · Linux Foundation+2 · Opensearch+9
Publicado
2026-04-30
·
Atualizado
2026-05-29
CVSS v3.1
2.2
Baixa
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
OpenSearch versões anteriores a 2.19.4
OpenSearch versões anteriores a 3.2.0
Description
Uma falha no plugin de Segurança do OpenSearch ocorre durante o processamento de solicitações de rollover de índice. Quando uma solicitação inclui um nome de índice de destino explícito, o plugin de segurança não avalia adequadamente as permissões de controle de acesso para esse destino. Consequentemente, um usuário com permissões
indices:admin/rollover em um índice de origem pode criar um novo índice com um nome que não tem autorização para usar, realizando o rollover para um nome de índice de destino fora de seus padrões de índice autorizados.Recommendations
Atualizar para a versão 2.19.4.
Atualizar para a versão 3.2.0.
Conceder a permissão
indices:admin/rollover apenas a usuários totalmente confiáveis.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opensearch
Opensearch-Ingest-Attachment-Plugin
Opensearch-Mapper-Annotated-Text-Plugin
Opensearch-Mapper-Murmur3-Plugin
Opensearch-Mapper-Size-Plugin
Opensearch-Repository-Hdfs-Plugin
Opensearch-Repository-S3-Plugin
Opensearch-Store-Mb-Plugin
Opensearch-Transport-Nio-Plugin
Org.Opensearch.Plugin:Opensearch-Security