PT-2024-2560 · Apache · Apache Pulsar
Lari Hotari
·
Publicado
2024-04-02
·
Atualizado
2024-05-01
·
CVE-2024-29834
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Pulsar 2.7.1 a 2.10.6
Versões do Apache Pulsar 2.11.0 a 2.11.4
Versões do Apache Pulsar 3.0.0 a 3.0.3
Versões do Apache Pulsar 3.1.0 a 3.1.3
Versões do Apache Pulsar 3.2.0 a 3.2.1
Descrição
O problema está relacionado a mecanismos de autorização insuficientes no Apache Pulsar, permitindo que usuários autenticados com permissões de produção ou consumo realizem operações não autorizadas em tópicos particionados. Isso inclui descarregar tópicos, acionar a compactação e gerenciar propriedades do namespace. A vulnerabilidade afeta usuários com o provedor de autorização padrão, e o impacto pode variar com provedores de autorização personalizados.
Recomendações
Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.4.
Os usuários das versões 3.1 e 3.2 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.2.2.
Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pulsar