一、 漏洞 CVE-2025-62371 基础信息
漏洞信息
                                        # OpenSearch Data Prepper 默认信任所有SSL证书

## 概述

OpenSearch Data Prepper 是一个用于可观测性数据收集的开源工具。在其 2.12.2 之前的版本中,OpenSearch sink 和 source 插件在未指定证书路径时默认信任所有 SSL 证书。

## 影响版本

所有版本 **低于 2.12.2** 的 OpenSearch sink 和 source 插件均受影响。

## 细节

- 当未提供 `cert` 参数时,插件会自动使用信任所有 SSL 证书的方式建立连接。
- 此行为绕过了标准的 SSL 证书验证流程。
- 攻击者可通过中间人攻击(MITM)拦截或篡改传输中的数据。

## 影响

- **安全性降低**:未正确验证 SSL 证书可能导致敏感数据在传输过程中被窃取或修改。
- **风险暴露面扩大**:TLS 加密失去预期的安全保障,攻击者可在不被察觉的情况下进行窃听或篡改。

## 修复措施

- **官方修复**:已在版本 2.12.2 中进行更新,禁用默认的 "trust all" 行为。
- **用户建议**:在配置 OpenSearch sink 或 source 时,显式指定 `cert` 参数,并提供集群 CA 证书的路径。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
OpenSearch Data Prepper plugins trusts all SSL certificates by default
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenSearch Data Prepper as an open source data collector for observability data. In versions prior to 2.12.2, the OpenSearch sink and source plugins in Data Prepper trust all SSL certificates by default when no certificate path is provided. Prior to this fix, the OpenSearch sink and source plugins would automatically use a trust all SSL strategy when connecting to OpenSearch clusters if no certificate path was explicitly configured. This behavior bypasses SSL certificate validation, potentially allowing attackers to intercept and modify data in transit through man-in-the-middle attacks. The vulnerability affects connections to OpenSearch when the cert parameter is not explicitly provided. This issue has been patched in version 2.12.2. As a workaround, users can add the cert parameter to their OpenSearch sink or source configuration with the path to the cluster's CA certificate.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
证书验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenSearch Data Prepper 信任管理问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenSearch Data Prepper是OpenSearch开源的一个 OpenSearch 项目的组件 OpenSearch Data Prepper 2.12.2之前版本存在信任管理问题漏洞,该漏洞源于OpenSearch sink和source插件默认信任所有SSL证书,可能导致中间人攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信任管理问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62371 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62371 的情报信息

  • 标题: Broad trust in the OpenSearch plugins trusts all SSL certificates by default · Advisory · opensearch-project/data-prepper · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Broad trust in the OpenSearch plugins trusts all SSL certificates by default · Advisory · opensearch-project/data-prepper · GitHub

  • 标题: Require full TLS trust in OpenSearch plugins by default unless insecu… · opensearch-project/data-prepper@98fcf0d · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Require full TLS trust in OpenSearch plugins by default unless insecu… · opensearch-project/data-prepper@98fcf0d · GitHub

  • 标题: Use standard TLS when downloading the database from an HTTP URL. (#6163) · opensearch-project/data-prepper@b0386a5 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Use standard TLS when downloading the database from an HTTP URL. (#6163) · opensearch-project/data-prepper@b0386a5 · GitHub

  • 标题: Change "SSL" to "TLS" (#6164) · opensearch-project/data-prepper@db11ce8 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Change "SSL" to "TLS" (#6164) · opensearch-project/data-prepper@db11ce8 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62371
四、漏洞 CVE-2025-62371 的评论

暂无评论

发表评论