Apache · Apache Pulsar C++ Client · CVE-2022-33684
**Nome do software vulnerável e versões afetadas**
Cliente Apache Pulsar C++, versões 2.7.0 a 2.7.4
Cliente Apache Pulsar C++, versões 2.8.0 a 2.8.3
Cliente Apache Pulsar C++ versões 2.9.0 a 2.9.2
Cliente Apache Pulsar C++ versões 2.10.0 a 2.10.1
Cliente Apache Pulsar C++ versão 2.6.4 e anteriores
Cliente Apache Pulsar Python versões 2.7.0 a 2.7.4
Cliente Apache Pulsar Python versões 2.8.0 a 2.8.3
Cliente Apache Pulsar Python versões 2.9.0 a 2.9.2
Cliente Apache Pulsar Python versões 2.10.0 a 2.10.1
Cliente Apache Pulsar Python versão 2.6.4 e anteriores
**Descrição**
O Cliente Apache Pulsar C++ e o Cliente Apache Pulsar Python não verificam certificados TLS de pares ao realizar chamadas HTTPS para o Fluxo de Credenciais do Cliente OAuth 2.0, mesmo quando `tlsAllowInsecureConnection` está desativado por meio da configuração. Isso permite que um invasor execute um ataque man-in-the-middle e intercepte e/ou modifique a solicitação GET enviada para a “URL do emissor” do `ClientCredentialFlow`. As credenciais interceptadas podem ser usadas para obter dados de autenticação do servidor OAuth 2.0 e, em seguida, autenticar-se em um cluster do Apache Pulsar. Um invasor deve assumir o controle de uma máquina “entre” o cliente e o servidor e manipular ativamente o tráfego para realizar o ataque.
**Recomendações**
2.7 Os usuários do cliente C++ e Python devem atualizar para a versão 2.7.5 e alternar as credenciais OAuth 2.0 vulneráveis, incluindo `client id` e `client secret`.
2.8 Os usuários do cliente C++ e Python devem atualizar para a versão 2.8