CVE-2024-41808

The OpenObserve open-source observability platform provides the ability to filter logs in a dashboard by the values uploaded in a given log. However, all versions of the platform through 0.9.1 do not sanitize user input in the filter selection menu, which may result in complete account takeover. It has been noted that the front-end uses `DOMPurify` or Vue templating to escape cross-site scripting (XSS) extensively, however certain areas of the front end lack this XSS protection. When combining the missing protection with the insecure authentication handling that the front-end uses, a malicious user may be able to take over any victim's account provided they meet the exploitation steps. As of time of publication, no patched version is available.
References
Configurations

Configuration 1 (hide)

cpe:2.3:a:openobserve:openobserve:*:*:*:*:*:*:*:*

History

13 Aug 2024, 13:40

Type Values Removed Values Added
References () https://github.com/openobserve/openobserve/security/advisories/GHSA-hx23-g7m8-h76j - () https://github.com/openobserve/openobserve/security/advisories/GHSA-hx23-g7m8-h76j - Exploit, Mitigation, Vendor Advisory
First Time Openobserve
Openobserve openobserve
CPE cpe:2.3:a:openobserve:openobserve:*:*:*:*:*:*:*:*
CVSS v2 : unknown
v3 : 8.8
v2 : unknown
v3 : 5.4

26 Jul 2024, 12:38

Type Values Removed Values Added
Summary
  • (es) La plataforma de observabilidad de código abierto OpenObserve brinda la capacidad de filtrar registros en un panel por los valores cargados en un registro determinado. Sin embargo, todas las versiones de la plataforma hasta la 0.9.1 no sanitizan la entrada del usuario en el menú de selección de filtros, lo que puede resultar en una apropiación total de la cuenta. Se ha observado que el front-end utiliza `DOMPurify` o plantillas Vue para escapar ampliamente del cross-site scripting (XSS), sin embargo, ciertas áreas del front-end carecen de esta protección XSS. Al combinar la protección faltante con el manejo de autenticación inseguro que utiliza el front-end, un usuario malintencionado puede hacerse cargo de la cuenta de cualquier víctima siempre que cumpla con los pasos de explotación. Al momento de la publicación, no hay ninguna versión parcheada disponible.

25 Jul 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-07-25 20:15

Updated : 2024-08-13 13:40


NVD link : CVE-2024-41808

Mitre link : CVE-2024-41808

CVE.ORG link : CVE-2024-41808


JSON object : View

Products Affected

openobserve

  • openobserve
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')