CVE-2024-26133

EventStoreDB versões 20 anteriores à 20.10.6

EventStoreDB versões 21 anteriores à 21.10.11

EventStoreDB versões 22 anteriores à 22.10.5

EventStoreDB versões 23 anteriores à 23.10.1

Foi identificada uma vulnerabilidade no subsistema de projeções do EventStoreDB. Esse problema afeta instâncias de banco de dados que utilizam projeções personalizadas, permitindo potencialmente o acesso às senhas de usuários para aqueles com acesso a arquivos de blocos no disco ou acesso de leitura a fluxos do sistema. Por padrão, apenas usuários do grupo $admins podem acessar fluxos do sistema.

Para versões anteriores à 20.10.6, atualize para a versão 20.10.6 ou posterior e redefina as senhas dos membros atuais e anteriores dos grupos $admins e $ops.

Para versões anteriores à 21.10.11, atualize para a versão 21.10.11 ou posterior e redefina as senhas dos membros atuais e anteriores dos grupos $admins e $ops.

Para versões anteriores à 22.10.5, atualize para a versão 22.10.5 ou posterior e redefina as senhas dos membros atuais e anteriores dos grupos $admins e $ops.

Para versões anteriores à 23.10.1, atualize para a versão 23.10.1 ou posterior e redefina as senhas dos membros atuais e anteriores dos grupos $admins e $ops.

Se não for possível realizar uma atualização imediata, redefina as senhas dos membros atuais e anteriores dos grupos $admins e $ops como medida temporária.

Evite criar projeções personalizadas até que o patch tenha sido aplicado.