PT-2024-2614 · Apache · Apache Pulsar
Lari Hotari
·
Publicado
2024-03-12
·
Atualizado
2025-01-19
·
CVE-2024-28098
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Pulsar 2.7.1 a 2.10.5
Versões do Apache Pulsar 2.11.0 a 2.11.3
Versões do Apache Pulsar 3.0.0 a 3.0.2
Versões do Apache Pulsar 3.1.0 a 3.1.2
Apache Pulsar versão 3.2.0
Descrição
O problema está relacionado à autorização inadequada no Apache Pulsar, permitindo que usuários autenticados com permissões apenas para produzir ou consumir modifiquem políticas no nível do tópico, como configurações de retenção, TTL e descarregamento. Essas operações de gerenciamento devem ser restritas a usuários com a função de administrador de locatário ou superusuário.
Recomendações
Os usuários da versão 2.10 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.10.6.
Os usuários da versão 2.11 do Apache Pulsar devem atualizar para, no mínimo, a versão 2.11.4.
Os usuários da versão 3.0 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.0.3.
Os usuários da versão 3.1 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.1.3.
Os usuários da versão 3.2 do Apache Pulsar devem atualizar para, no mínimo, a versão 3.2.1.
Os usuários que operam versões anteriores às listadas acima devem atualizar para as versões corrigidas mencionadas ou para versões mais recentes.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Pulsar