PT-2024-2609 · Apache · Apache Pulsar
Lari Hotari
·
Publicado
2024-03-12
·
Atualizado
2025-01-22
·
CVE-2024-27135
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Pulsar 2.4.0 a 2.10.5
Versões do Apache Pulsar 2.11.0 a 2.11.3
Versões do Apache Pulsar 3.0.0 a 3.0.2
Versões do Apache Pulsar 3.1.0 a 3.1.2
Apache Pulsar versão 3.2.0
Descrição
O problema está relacionado à validação inadequada de entradas no Pulsar Function Worker, permitindo que um usuário autenticado mal-intencionado execute código Java arbitrário no Pulsar Function Worker, fora das sandboxes designadas para a execução de funções fornecidas pelo usuário. Essa vulnerabilidade também se aplica ao Pulsar Broker quando ele está configurado com “functionsWorkerEnabled=true”.
Recomendações
Os usuários da versão 2.10 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.10.6.
Os usuários da versão 2.11 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.11.4.
Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.3.
Os usuários da versão 3.1 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.1.3.
Os usuários da versão 3.2 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.2.1.
Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Pulsar