CVE-2024-51504

Apache ZooKeeper, versões 3.9.0 a 3.9.2

O problema está relacionado ao IPAuthenticationProvider no servidor de administração do ZooKeeper, o que permite a burla da autenticação por meio de falsificação. Isso afeta a autenticação baseada em IP e se deve à configuração padrão que utiliza cabeçalhos de solicitação HTTP para detectar o endereço IP do cliente, especificamente ao aceitar o cabeçalho HTTP X-Forwarded-For. Isso pode ser facilmente falsificado por um invasor, permitindo que ele contorne a autenticação. A exploração bem-sucedida pode levar ao vazamento de informações ou a problemas de disponibilidade do serviço, já que comandos do Admin Server, como snapshot e restore, podem ser executados arbitrariamente.

Para as versões 3.9.0 a 3.9.2 do Apache ZooKeeper, atualize para a versão 3.9.3 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso ao IPAuthenticationProvider ou desativar o uso de cabeçalhos HTTP X-Forwarded-For para minimizar o risco de exploração. Evite usar o cabeçalho de solicitação X-Forwarded-For nos pontos de extremidade da API afetados até que o problema seja resolvido.