Michael Marshall

**Name of the Vulnerable Software and Affected Versions** Apache Pulsar WebSocket Proxy versions 2.8.0 through 2.8.* Apache Pulsar WebSocket Proxy versions 2.9.0 through 2.9.* Apache Pulsar WebSocket Proxy versions 2.10.0 through 2.10.4 Apache Pulsar WebSocket Proxy versions 2.11.0 through 2.11.1 Apache Pulsar WebSocket Proxy version 3.0.0 **Description** An Improper Authentication vulnerability in Apache Pulsar WebSocket Proxy allows an attacker to connect to the "/pingpong" endpoint without authentication. The known risks include a denial of service due to the WebSocket Proxy accepting any connections, and excessive data transfer due to misuse of the WebSocket ping/pong feature. **Recommendations** For Apache Pulsar WebSocket Proxy versions 2.8.0 through 2.8.*, upgrade to at least version 2.10.5, 2.11.2, or 3.0.1. For Apache Pulsar WebSocket Proxy versions 2.9.0 through 2.9.*, upgrade to at least version 2.10.5, 2.11.2, or 3.0.1. For Apache Pulsar WebSocket Proxy versions 2.10.0 through 2.10.4, upgrade to at least version 2.10.5. For Apache Pulsar WebSocket Proxy versions 2.11.0 through 2.11.1, upgrade to at least version 2.11.2. For Apache Pulsar WebSocket Proxy version 3.0.0, upgrade to at least version 3.0.1.

**Name of the Vulnerable Software and Affected Versions** Apache Pulsar Broker versions 2.9.0 through 2.9.5 Apache Pulsar Broker versions 2.10.0 through 2.10.3 Apache Pulsar Broker version 2.11.0 **Description** The issue is related to an Incorrect Authorization vulnerability in Apache Pulsar Broker's Rest Producer, allowing an authenticated user with a custom HTTP header to produce a message to any topic using the broker's admin role. This can be exploited when an attacker connects directly to the Pulsar Broker. The vulnerability poses two known risks: producing garbage messages to any topic in the cluster and influencing topic settings for other tenants, potentially leading to exfiltration and/or deletion of messages. **Recommendations** Apache Pulsar Broker versions 2.9.0 through 2.9.5 should upgrade to one of the patched versions. Apache Pulsar Broker versions 2.10.0 through 2.10.3 should upgrade to at least version 2.10.4. Apache Pulsar Broker version 2.11.0 should upgrade to at least version 2.11.1.

**Name of the Vulnerable Software and Affected Versions** Apache Pulsar versions prior to 2.10.4 Apache Pulsar version 2.11.0 Apache Pulsar versions 2.9.* and earlier **Description** The issue is related to an Incorrect Authorization vulnerability in Apache Pulsar Function Worker, which can allow a remote attacker to access the configuration of the cloud platform. Any authenticated user can retrieve a source's configuration or a sink's configuration without authorization, potentially leading to leaked credentials. The vulnerability is mitigated by the fact that there is no known way for an authenticated user to enumerate another tenant's sources or sinks, meaning the source or sink name would need to be guessed in order to exploit this vulnerability. **Recommendations** For Apache Pulsar version 2.10, upgrade to at least version 2.10.4. For Apache Pulsar version 2.11, upgrade to at least version 2.11.1. For Apache Pulsar versions 2.9.* and earlier, upgrade to one of the above patched versions. Note that Apache Pulsar version 3.0 is unaffected.

**Name of the Vulnerable Software and Affected Versions** Apache Pulsar versions prior to 2.10.4 Apache Pulsar version 2.11.0 **Description** The issue affects Apache Pulsar when a client connects to the Pulsar Function Worker via the Pulsar Proxy, which uses mTLS authentication. The Pulsar Function Worker incorrectly performs authorization by using the Proxy's role instead of the client's role, leading to potential privilege escalation, especially if the proxy is configured with a superuser role. **Recommendations** For Apache Pulsar version 2.10, upgrade to at least version 2.10.4. For Apache Pulsar version 2.11, upgrade to at least version 2.11.1. For Apache Pulsar versions 2.9 and earlier, upgrade to one of the above patched versions.

**Name of the Vulnerable Software and Affected Versions** Apache Pulsar versions through 2.9.4 Apache Pulsar versions from 2.10.0 through 2.10.3 Apache Pulsar version 2.11.0 **Description** The issue is related to an improper authentication vulnerability in Apache Pulsar Broker, allowing a client to stay connected to a broker after authentication data expires. This can occur if the client connected through the Pulsar Proxy when the broker is configured with `authenticateOriginalAuthData=false`, or if a client connects directly to a broker with a specially crafted connect command when the broker is configured with `authenticateOriginalAuthData=false`. **Recommendations** Apache Pulsar version 2.9 users should upgrade to at least version 2.9.5. Apache Pulsar version 2.10 users should upgrade to at least version 2.10.4. Apache Pulsar version 2.11 users should upgrade to at least version 2.11.1. Any users running Apache Pulsar for versions 2.8 and earlier should upgrade to one of the above patched versions.

**Nome do software vulnerável e versões afetadas** Apache Pulsar Broker e Proxy, versões 2.6.4 e anteriores Apache Pulsar Broker e Proxy, versões 2.7.0 a 2.7.4 Apache Pulsar Broker e Proxy, versões 2.8.0 a 2.8.3 Apache Pulsar Broker e Proxy versões 2.9.0 a 2.9.2 Apache Pulsar Broker e Proxy versão 2.10.0 **Descrição** As conexões HTTPS intra-cluster e de replicação geográfica do Pulsar Admin Client estão vulneráveis a ataques man-in-the-middle devido à falta de verificação de certificados TLS do par, mesmo quando `tlsAllowInsecureConnection` está desativado. Isso pode levar ao vazamento de dados de autenticação, dados de configuração e quaisquer outros dados enviados por esses clientes. Um invasor precisa assumir o controle de uma máquina entre o cliente e o servidor e manipular ativamente o tráfego para realizar o ataque. **Recomendações** Para as versões 2.6.4 e anteriores do Apache Pulsar Broker e Proxy, atualize para uma versão que verifique os certificados TLS do par. Para as versões 2.7.0 a 2.7.4 do Apache Pulsar Broker e Proxy, atualize para uma versão que verifique certificados TLS de pares. Para as versões 2.8.0 a 2.8.3 do Apache Pulsar Broker e Proxy, atualize para uma versão que verifique certificados TLS de pares. Para as versões 2.9.0 a 2.9.2 do Apache Pulsar Broker e Proxy, atualize para uma versão que verifique certificados TLS de pares. Para a versão 2.10.0 do Apache Pulsar Broker e Proxy, atualize para uma versão que verifique certificados TLS de pares. Como solução alternativa temporária, considere restringir um

**Nome do software vulnerável e versões afetadas** Apache Pulsar Broker, Proxy e WebSocket Proxy, versões 2.6.4 e anteriores Apache Pulsar Broker, Proxy e WebSocket Proxy, versões 2.7.0 a 2.7.4 Apache Pulsar Broker, Proxy e WebSocket Proxy versões 2.8.0 a 2.8.3 Apache Pulsar Broker, Proxy e WebSocket Proxy versões 2.9.0 a 2.9.2 Apache Pulsar Broker, Proxy e WebSocket Proxy versão 2.10.0 **Descrição** A verificação de nome de host TLS não pode ser habilitada no Cliente Java do Pulsar Broker, no Cliente de Administração Java do Pulsar Broker, no Cliente Java do Pulsar WebSocket Proxy e no Cliente de Administração do Pulsar Proxy, deixando as conexões intra-cluster e as conexões de replicação geográfica vulneráveis a ataques man-in-the-middle. Isso pode resultar no vazamento de credenciais, dados de configuração, dados de mensagens e quaisquer outros dados enviados por esses clientes. A vulnerabilidade afeta tanto o protocolo pulsar+ssl quanto o HTTPS. Um invasor precisa assumir o controle de uma máquina entre o cliente e o servidor e manipular ativamente o tráfego para realizar o ataque, fornecendo ao cliente um certificado criptograficamente válido para um host não relacionado. **Recomendações** Para as versões 2.6.4 e anteriores do Apache Pulsar Broker, Proxy e WebSocket Proxy, atualize para uma versão que inclua a correção para este problema. Para as versões 2.7.0 a 2.7.4 do Apache Pulsar Broker, Proxy e WebSocket Proxy, atualize para uma versão que inclua a correção para este problema. Para o Apache Pulsar Broker, Proxy e WebSocket Proxy

**Nome do software vulnerável e versões afetadas** Apache Pulsar Java Client versões 2.6.4 e anteriores Apache Pulsar Java Client versões 2.7.0 a 2.7.4 Apache Pulsar Java Client versões 2.8.0 a 2.8.3 Apache Pulsar Java Client versões 2.9.0 a 2.9.2 Apache Pulsar Java Client versão 2.10.0 **Descrição** A verificação atrasada do nome de host TLS no Pulsar Java Client e no Pulsar Proxy torna cada cliente vulnerável a um ataque man-in-the-middle. As conexões do Pulsar Java Client para o Pulsar Broker/Proxy e as conexões do Pulsar Proxy para o Pulsar Broker estão vulneráveis. Os dados de autenticação são enviados antes da verificação de que o certificado TLS do servidor corresponde ao nome do host, o que significa que os dados de autenticação podem ser expostos a um invasor. Um invasor só pode explorar essa vulnerabilidade assumindo o controle de uma máquina “entre” o cliente e o servidor. O invasor deve então manipular ativamente o tráfego para realizar o ataque, fornecendo ao cliente um certificado criptograficamente válido para um host não relacionado. Como o cliente envia os dados de autenticação antes de realizar a verificação do nome do host, um invasor poderia obter acesso aos dados de autenticação do cliente. Os métodos de autenticação baseados em token e nome de usuário/senha são vulneráveis, pois os dados de autenticação podem ser usados para se passar pelo cliente em uma sessão separada. **Recomendações** Para o Apache Pulsar Java Client versões 2.6.4 e anteriores, atualize para uma versão t

**Nome do software vulnerável e versões afetadas** Apache Pulsar (versões afetadas não especificadas) **Descrição** O problema está relacionado ao mecanismo de autenticação do Apache Pulsar ao utilizar JSON Web Tokens (JWT) para autenticação de clientes. Se o algoritmo do token apresentado estiver definido como “none”, a assinatura do token não é validada. Isso permite que um invasor se conecte a instâncias do Pulsar como qualquer usuário, incluindo administradores. A vulnerabilidade está associada à validação incorreta da assinatura criptográfica, que pode ser explorada por um invasor remoto para obter acesso não autorizado a informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** The Squid Software Foundation Squid version 3.5.27-20180318 **Description** This issue allows remote attackers to deny service on vulnerable installations. Authentication is not required to exploit this. The specific flaw exists within the `ClientRequestContext::sslBumpAccessCheck()` function. A crafted request can trigger the dereference of a null pointer, leading to a denial-of-service condition for users of the system. **Recommendations** For The Squid Software Foundation Squid version 3.5.27-20180318, consider disabling the `sslBumpAccessCheck` functionality within the `ClientRequestContext` as a temporary workaround until a patch is available.