PT-2024-2610 · Apache · Apache Pulsar
Lari Hotari
·
Publicado
2024-03-12
·
Atualizado
2025-01-22
·
CVE-2022-34321
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:P |
Nome do software vulnerável e versões afetadas
Versões do Apache Pulsar 2.6.0 a 2.10.5
Versões do Apache Pulsar 2.11.0 a 2.11.2
Versões do Apache Pulsar 3.0.0 a 3.0.1
Versão 3.1.0 do Apache Pulsar
Descrição
O problema está relacionado a uma vulnerabilidade de autenticação inadequada no Apache Pulsar Proxy, permitindo que um invasor se conecte ao endpoint “/proxy-stats” sem autenticação. Isso expõe estatísticas detalhadas sobre conexões ativas e permite a modificação do nível de registro de conexões proxy sem credenciais de autenticação adequadas. Os riscos conhecidos incluem a exposição de informações confidenciais, como o IP do cliente conectado, e a manipulação não autorizada do nível de registro, o que poderia levar a uma condição de negação de serviço ao aumentar significativamente a sobrecarga de registro do proxy.
Recomendações
Os usuários da versão 2.10 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.10.6.
Os usuários da versão 2.11 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.11.3.
Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.2.
Os usuários da versão 3.1 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.1.1.
Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pulsar