CVE-2024-27894

Versões do Apache Pulsar anteriores à 2.10.6

Versões do Apache Pulsar anteriores à 2.11.4

Versões do Apache Pulsar anteriores à 3.0.3

Versões do Apache Pulsar anteriores à 3.1.3

Versões do Apache Pulsar anteriores à 3.2.1

O problema está relacionado ao Pulsar Functions Worker, que permite que usuários autenticados criem funções cuja implementação é referenciada por uma URL. Esse recurso introduz uma vulnerabilidade que pode ser explorada por um invasor para obter acesso não autorizado a qualquer arquivo que o processo do Pulsar Functions Worker tenha permissão para ler, incluindo a leitura do ambiente do processo, que potencialmente contém informações confidenciais, como segredos. Além disso, um invasor poderia aproveitar essa vulnerabilidade para usar o Pulsar Functions Worker como um proxy para acessar o conteúdo de URLs de endpoints HTTP e HTTPS remotos, como esquemas “http” ou “https”, e realizar ataques de negação de serviço. Essa vulnerabilidade também se aplica ao Pulsar Broker quando ele está configurado com “functionsWorkerEnabled=true”.

Para versões anteriores à 2.10.6, atualize para pelo menos a versão 2.10.6.

Para versões anteriores à 2.11.4, atualize para pelo menos a versão 2.11.4.

Para versões anteriores à 3.0.3, atualize para pelo menos a versão 3.0.3.

Para versões anteriores à 3.1.3, atualize para pelo menos a versão 3.1.3.

Para versões anteriores à 3.2.1, atualize para pelo menos a versão 3.2.1.

Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas acima ou para versões mais recentes