PT-2021-3274 · Apache · Apache Pulsar
Michael Marshall
·
Publicado
2021-05-25
·
Atualizado
2022-06-04
·
CVE-2021-22160
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Apache Pulsar (versões afetadas não especificadas)
Descrição
O problema está relacionado ao mecanismo de autenticação do Apache Pulsar ao utilizar JSON Web Tokens (JWT) para autenticação de clientes. Se o algoritmo do token apresentado estiver definido como “none”, a assinatura do token não é validada. Isso permite que um invasor se conecte a instâncias do Pulsar como qualquer usuário, incluindo administradores. A vulnerabilidade está associada à validação incorreta da assinatura criptográfica, que pode ser explorada por um invasor remoto para obter acesso não autorizado a informações protegidas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pulsar