CRITICAL🇬🇧 English

CVE-2024-24830

OpenObserve: privilege escalation przez endpoint dodawania użytkowników

CVSS 9.9v3.1pub. 2024-02-08upd. 2025-08-27

Podatność w platformie OpenObserve pozwala każdemu uwierzytelnionemu użytkownikowi o roli 'member' na dodanie nowych kont z uprawnieniami administratora (rola 'root') do organizacji. Stanowi to poważne obejście systemu kontroli dostępu opartego na rolach (RBAC).

Pokaż oryginał (EN)

OpenObserve is a observability platform built specifically for logs, metrics, traces, analytics, designed to work at petabyte scale. A vulnerability has been identified in the "/api/{org_id}/users" endpoint. This vulnerability allows any authenticated regular user ('member') to add new users with elevated privileges, including the 'root' role, to an organization. This issue circumvents the intended security controls for role assignments. The vulnerability resides in the user creation process, where the payload does not validate the user roles. A regular user can manipulate the payload to assign root-level privileges. This vulnerability leads to Unauthorized Privilege Escalation and significantly compromises the application's role-based access control system. It allows unauthorized control over application resources and poses a risk to data security. All users, particularly those in administrative roles, are impacted. This issue has been addressed in release version 0.8.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.

🤖 Analiza AI
Jak działa

Luka dotyczy endpointu '/api/{org_id}/users', odpowiedzialnego za tworzenie nowych użytkowników. Proces tworzenia konta nie weryfikuje poprawności pola określającego rolę użytkownika w przesyłanym payload. Zwykły, uwierzytelniony użytkownik może zmodyfikować payload żądania HTTP, podając dowolną rolę — w tym 'root' — i w ten sposób ominąć mechanizmy kontroli uprawnień przeznaczone wyłącznie dla administratorów.

Skutki

Atakujący z dostępem do konta zwykłego użytkownika może eskalować uprawnienia do poziomu root, przejmując pełną kontrolę nad organizacją i jej zasobami w aplikacji. Stanowi to poważne zagrożenie dla bezpieczeństwa danych i integralności całej instancji OpenObserve.

Mitygacja

Należy niezwłocznie zaktualizować OpenObserve do wersji 0.8.0 lub nowszej. Producent informuje, że nie istnieją żadne znane obejścia tej podatności.

Kogo dotyczy

OpenObserve we wszystkich wersjach przed 0.8.0

Uwagi

Brak znanych obejść (workarounds) — jedynym rozwiązaniem jest aktualizacja do wersji 0.8.0, co zostało potwierdzone przez producenta w opublikowanym advisory.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Openobserve

    APP
    Openobserve
    < 0.8.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-25106CRITICAL9.1PL ✓ten sam produkt

OpenObserve: nieautoryzowane usuwanie użytkowników przez dowolnego członka organizacji

CVE-2026-39361HIGH7.7ten sam produkt

OpenObserve is a cloud-native observability platform. In 0.70.3 and earlier, the validate_enrichment_url funct...

CVE-2024-41808HIGH8.8ten sam produkt

The OpenObserve open-source observability platform provides the ability to filter logs in a dashboard by the v...

CVE-2024-41809HIGH7.2ten sam produkt

OpenObserve is an open-source observability platform. Starting in version 0.4.4 and prior to version 0.10.0, O...

CVE-2024-24830 — OpenObserve: privilege escalation przez endpoint dodawania użytkowników — CRITICAL 9.9 | CVEbaza.pl