寒泉

**Nome do software vulnerável e versões afetadas** Versões do Apache ZooKeeper anteriores à 3.9.2 Versões do Apache ZooKeeper anteriores à 3.8.4 **Descrição** O problema está relacionado à divulgação de informações no tratamento de observadores persistentes no Apache ZooKeeper, devido à falta de verificação de ACL. Isso permite que um invasor monitore znodes filhos anexando um observador persistente (comando addWatch) a um pai ao qual o invasor já tenha acesso. O servidor ZooKeeper não realiza verificação de ACL quando o observador persistente é acionado e, como consequência, o caminho completo dos znodes nos quais um evento de observação é acionado fica exposto ao proprietário do observador. Apenas o caminho é exposto por essa vulnerabilidade, não os dados do znode, mas como o caminho do znode pode conter informações confidenciais, como nome de usuário ou ID de login, esse problema é potencialmente crítico. Aproximadamente 83.109 dispositivos estão potencialmente afetados, distribuídos principalmente na China e nos Estados Unidos. **Recomendações** Para resolver o problema, atualize para a versão 3.9.2 ou 3.8.4, que corrige a falha. Como solução temporária, considere restringir o acesso ao comando `addWatch` para minimizar o risco de exploração. Evite usar informações confidenciais nos caminhos dos znodes até que o problema seja resolvido.