从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:AWS Firehose Receiver Authentication Bypass Vulnerability 2. 严重性:Moderate (5.3 / 10) 3. 受影响的版本范围:>= 0.49.0, < 0.108.0 4. 已修复的版本:0.108.0 5. 描述: - OpenTelemetry Collector模块 允许未授权的远程请求,即使配置为需要密钥。 - OpenTelemetry Collector可以配置为通过AWS Firehose Stream接收CloudWatch指标。Firehose设置头部 为任意配置的字符串。 - 当配置为需要密钥时, 模块仍然接受未加密的请求。 6. 影响: - 只有使用 模块的OpenTelemetry Collector用户受到影响。 - 可能有未经授权的用户写入指标。精心构造的指标可能会隐藏其他恶意活动。 - 这些端点可能暴露在公共互联网上,因为Firehose不支持私有HTTP端点。 7. 修复: - 修复已在#34847中引入,并在0.108.0版本中发布。 8. CPE ID:CPE: cpe:2.3:a:open-telemetry:opentelemetry-collector-contrib:0.49.0-0.108.0 9. CVSS评分:AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 10. 报告人:DouglasHeriot 11. 修复审查员:Aneurysm9 12. 协调员:arminru