Plataforma
go
Componente
openobserve
Corregido en
0.14.2
Se ha descubierto una vulnerabilidad de privilegio elevado en OpenObserve, una plataforma de observabilidad nativa en la nube. Esta falla permite a un usuario con el rol de 'Admin' eliminar cuentas de usuario 'Root', contraviniendo la jerarquía de privilegios establecida. Las versiones afectadas son aquellas iguales o menores a 0.14.0. La vulnerabilidad ha sido solucionada en la versión 0.14.1.
La explotación de esta vulnerabilidad permite a un atacante con privilegios de 'Admin' eliminar cuentas de usuario 'Root' dentro de la organización OpenObserve. Al eliminar la cuenta 'Root', el atacante puede obtener un control efectivo sobre la plataforma, pudiendo modificar configuraciones, acceder a datos sensibles y comprometer la integridad del sistema. Esta situación es particularmente grave ya que la cuenta 'Root' suele tener los permisos más altos dentro de la plataforma, lo que amplía significativamente el radio de impacto de la vulnerabilidad. La falta de controles adecuados en la función removeuserfrom_org es la causa directa de este problema.
Esta vulnerabilidad ha sido publicada el 16 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas al momento de la publicación. La severidad de la vulnerabilidad, con un CVSS de 8.7 (ALTO), indica una alta probabilidad de explotación si no se toman medidas correctivas.
Organizations heavily reliant on OpenObserve for observability and monitoring are at significant risk. Specifically, deployments with poorly configured role-based access controls, where Admin accounts have excessive privileges, are particularly vulnerable. Shared hosting environments utilizing OpenObserve also face increased risk due to potential cross-tenant access issues.
• linux / server: Monitor OpenObserve API logs for requests to /api/{orgid}/users/{emailid} with the removeuserfrom_org function originating from users with the 'Admin' role. Look for unusual patterns or unexpected user removals.
journalctl -u openobserve -f | grep 'remove_user_from_org'• generic web: Use curl to test the API endpoint /api/{orgid}/users/{emailid} with an Admin user's credentials to see if a Root user can be removed.
curl -X DELETE -H "Authorization: Bearer <admin_token>" https://<openobserve_url>/api/<org_id>/users/<root_email>disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar OpenObserve a la versión 0.14.1 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los permisos de usuario y limitar el acceso a la función de administración de usuarios. Implementar una auditoría exhaustiva de los usuarios con privilegios de 'Admin' puede ayudar a identificar posibles cuentas comprometidas. Aunque no hay reglas WAF específicas disponibles, se puede implementar una regla que detecte solicitudes sospechosas al endpoint /api/{orgid}/users/{emailid} que intenten eliminar usuarios 'Root' desde cuentas que no sean 'Root'.
Actualice OpenObserve a la versión 0.14.1 o superior. Esta versión corrige la vulnerabilidad que permite a los usuarios con rol de 'Admin' eliminar usuarios 'Root'. La actualización previene la escalada de privilegios y el control total no autorizado del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-55954 is a vulnerability in OpenObserve versions ≤0.14.0 that allows an Admin user to remove a Root user, bypassing privilege checks and potentially gaining full control.
You are affected if you are running OpenObserve versions 0.14.0 or earlier. Assess your deployment and upgrade as soon as possible.
Upgrade OpenObserve to version 0.14.1 or later to remediate the vulnerability. Review and strengthen your role-based access controls.
Currently, there are no publicly known active exploits for CVE-2024-55954, but the vulnerability's severity warrants proactive mitigation.
Refer to the OpenObserve security advisory for detailed information and mitigation guidance: [https://github.com/openobserve/openobserve/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory link when available)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.