CVE-2022-41906— OpenSearch Project 代码问题漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2022-41906 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
OpenSearch Notifications is vulnerable to Server-Side Request Forgery (SSRF)
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
OpenSearch Notifications is a notifications plugin for OpenSearch that enables other plugins to send notifications via Email, Slack, Amazon Chime, Custom web-hook etc channels. A potential SSRF issue in OpenSearch Notifications Plugin starting in 2.0.0 and prior to 2.2.1 could allow an existing privileged user to enumerate listening services or interact with configured resources via HTTP requests exceeding the Notification plugin's intended scope. OpenSearch 2.2.1+ contains the fix for this issue. There are currently no recommended workarounds.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
服务端请求伪造(SSRF)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
OpenSearch Project 代码问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
OpenSearch Project是OpenSearch Project开源的一个社区驱动的、Apache 2.0许可的开放源代码搜索和分析套件。使其易于获取、搜索、可视化和分析数据。 OpenSearch Project Notifications存在代码问题漏洞,该漏洞源于其潜在服务端请求伪造可能允许现有特权用户枚举侦听服务或通过超出通知插件预期范围的HTTP请求与配置的资源进行交互。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| opensearch-project | notifications | >= 2.0.0, < 2.2.1 | - |
二、漏洞 CVE-2022-41906 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2022-41906 的情报信息
请登录查看更多情报信息。
CVE-2022-41906 补丁与修复 (2)
- https://github.com/opensearch-project/notifications/pull/507x_refsource_MISC
- https://github.com/opensearch-project/notifications/pull/496x_refsource_MISC
CVE-2022-41906 厂商安全公告 (1)
IV. Related Vulnerabilities
V. Comments for CVE-2022-41906
暂无评论