Lari Hotari

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar 2.7.1 a 2.10.6 Versões do Apache Pulsar 2.11.0 a 2.11.4 Versões do Apache Pulsar 3.0.0 a 3.0.3 Versões do Apache Pulsar 3.1.0 a 3.1.3 Versões do Apache Pulsar 3.2.0 a 3.2.1 **Descrição** O problema está relacionado a mecanismos de autorização insuficientes no Apache Pulsar, permitindo que usuários autenticados com permissões de produção ou consumo realizem operações não autorizadas em tópicos particionados. Isso inclui descarregar tópicos, acionar a compactação e gerenciar propriedades do namespace. A vulnerabilidade afeta usuários com o provedor de autorização padrão, e o impacto pode variar com provedores de autorização personalizados. **Recomendações** Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.4. Os usuários das versões 3.1 e 3.2 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.2.2. Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar 2.4.0 a 2.10.5 Versões do Apache Pulsar 2.11.0 a 2.11.3 Versões do Apache Pulsar 3.0.0 a 3.0.2 Versões do Apache Pulsar 3.1.0 a 3.1.2 Apache Pulsar versão 3.2.0 **Descrição** O problema está relacionado à validação inadequada de entradas no Pulsar Function Worker, permitindo que um usuário autenticado mal-intencionado execute código Java arbitrário no Pulsar Function Worker, fora das sandboxes designadas para a execução de funções fornecidas pelo usuário. Essa vulnerabilidade também se aplica ao Pulsar Broker quando ele está configurado com “functionsWorkerEnabled=true”. **Recomendações** Os usuários da versão 2.10 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.10.6. Os usuários da versão 2.11 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.11.4. Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.3. Os usuários da versão 3.1 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.1.3. Os usuários da versão 3.2 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.2.1. Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar 2.6.0 a 2.10.5 Versões do Apache Pulsar 2.11.0 a 2.11.2 Versões do Apache Pulsar 3.0.0 a 3.0.1 Versão 3.1.0 do Apache Pulsar **Descrição** O problema está relacionado a uma vulnerabilidade de autenticação inadequada no Apache Pulsar Proxy, permitindo que um invasor se conecte ao endpoint “/proxy-stats” sem autenticação. Isso expõe estatísticas detalhadas sobre conexões ativas e permite a modificação do nível de registro de conexões proxy sem credenciais de autenticação adequadas. Os riscos conhecidos incluem a exposição de informações confidenciais, como o IP do cliente conectado, e a manipulação não autorizada do nível de registro, o que poderia levar a uma condição de negação de serviço ao aumentar significativamente a sobrecarga de registro do proxy. **Recomendações** Os usuários da versão 2.10 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.10.6. Os usuários da versão 2.11 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.11.3. Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.2. Os usuários da versão 3.1 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.1.1. Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar 2.7.1 a 2.10.5 Versões do Apache Pulsar 2.11.0 a 2.11.3 Versões do Apache Pulsar 3.0.0 a 3.0.2 Versões do Apache Pulsar 3.1.0 a 3.1.2 Apache Pulsar versão 3.2.0 **Descrição** O problema está relacionado à autorização inadequada no Apache Pulsar, permitindo que usuários autenticados com permissões apenas para produzir ou consumir modifiquem políticas no nível do tópico, como configurações de retenção, TTL e descarregamento. Essas operações de gerenciamento devem ser restritas a usuários com a função de administrador de locatário ou superusuário. **Recomendações** Os usuários da versão 2.10 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.10.6. Os usuários da versão 2.11 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.11.4. Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.3. Os usuários da versão 3.1 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.1.3. Os usuários da versão 3.2 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.2.1. Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar anteriores à 2.10.6 Versões do Apache Pulsar anteriores à 2.11.4 Versões do Apache Pulsar anteriores à 3.0.3 Versões do Apache Pulsar anteriores à 3.1.3 Versões do Apache Pulsar anteriores à 3.2.1 **Descrição** O problema está relacionado ao Pulsar Functions Worker, que permite que usuários autenticados criem funções cuja implementação é referenciada por uma URL. Esse recurso introduz uma vulnerabilidade que pode ser explorada por um invasor para obter acesso não autorizado a qualquer arquivo que o processo do Pulsar Functions Worker tenha permissão para ler, incluindo a leitura do ambiente do processo, que potencialmente contém informações confidenciais, como segredos. Além disso, um invasor poderia aproveitar essa vulnerabilidade para usar o Pulsar Functions Worker como um proxy para acessar o conteúdo de URLs de endpoints HTTP e HTTPS remotos, como esquemas “http” ou “https”, e realizar ataques de negação de serviço. Essa vulnerabilidade também se aplica ao Pulsar Broker quando ele está configurado com “functionsWorkerEnabled=true”. **Recomendações** Para versões anteriores à 2.10.6, atualize para pelo menos a versão 2.10.6. Para versões anteriores à 2.11.4, atualize para pelo menos a versão 2.11.4. Para versões anteriores à 3.0.3, atualize para pelo menos a versão 3.0.3. Para versões anteriores à 3.1.3, atualize para pelo menos a versão 3.1.3. Para versões anteriores à 3.2.1, atualize para pelo menos a versão 3.2.1. Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas acima ou para versões mais recentes

**Nome do software vulnerável e versões afetadas** Versões do Apache Pulsar de 2.4.0 a 2.10.5 Versões do Apache Pulsar 2.11.0 a 2.11.3 Versões do Apache Pulsar 3.0.0 a 3.0.2 Versões do Apache Pulsar 3.1.0 a 3.1.2 Versão 3.2.0 do Apache Pulsar **Descrição** O problema está relacionado a uma vulnerabilidade de traversal de diretório no Pulsar Functions Worker. Usuários autenticados podem fazer upload de funções em arquivos jar ou nar, que são essencialmente arquivos zip extraídos pelo Functions Worker. Se um arquivo malicioso for enviado, ele poderá explorar essa vulnerabilidade devido à validação inadequada dos nomes de arquivos nos arquivos zip, permitindo potencialmente que um invasor crie ou modifique arquivos fora do diretório de extração designado e influencie o comportamento do sistema. Essa vulnerabilidade também se aplica ao Pulsar Broker quando configurado com “functionsWorkerEnabled=true”. **Recomendações** 2.10 Os usuários do Pulsar Function Worker devem atualizar para, no mínimo, a versão 2.10.6. 2.11 Os usuários do Pulsar Function Worker devem atualizar para, no mínimo, a versão 2.11.4. 3.0 Os usuários do Pulsar Function Worker devem atualizar para, no mínimo, a versão 3.0.3. 3.1 Os usuários do Pulsar Function Worker devem atualizar para, no mínimo, a versão 3.1.3. 3.2 Os usuários do Pulsar Function Worker devem atualizar para, no mínimo, a versão 3.2.1. Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.

**Nome do software vulnerável e versões afetadas** Apache Pulsar Proxy versões 2.6.4 e anteriores Apache Pulsar Proxy versões 2.7.0 a 2.7.4 Apache Pulsar Proxy versões 2.8.0 a 2.8.2 Apache Pulsar Proxy versões 2.9.0 a 2.9.1 **Descrição** O problema está relacionado a uma vulnerabilidade de validação inadequada de entrada no componente Proxy do Apache Pulsar. Essa vulnerabilidade permite que um invasor realize tentativas de conexão TCP/IP originadas do endereço IP do Pulsar Proxy. Quando o componente Apache Pulsar Proxy é utilizado, é possível tentar abrir conexões TCP/IP para qualquer endereço IP e porta aos quais o Pulsar Proxy possa se conectar. Um invasor poderia usar isso como forma de realizar ataques DoS originados do endereço IP do Pulsar Proxy. O invasor precisará ter um token válido para um Pulsar Proxy devidamente protegido. **Recomendações** Para as versões 2.6.4 e anteriores do Apache Pulsar Proxy, atualize para uma versão posterior à 2.6.4. Para as versões 2.7.0 a 2.7.4 do Apache Pulsar Proxy, atualize para uma versão posterior à 2.7.4. Para as versões 2.8.0 a 2.8.2 do Apache Pulsar Proxy, atualize para uma versão posterior à 2.8.2. Para as versões 2.9.0 a 2.9.1 do Apache Pulsar Proxy, atualize para uma versão posterior à 2.9.1. Como solução alternativa temporária, considere restringir o acesso ao componente Proxy para minimizar o risco de exploração.