CVE-2025-58457

Nome do Software Vulnerável e Versões Afetadas Versões do Apache ZooKeeper de 3.9.0 a 3.9.3

Descrição Existe uma verificação de permissão inadequada no AdminServer do ZooKeeper, permitindo que clientes autorizados executem comandos de snapshot e restore com permissões insuficientes. O problema pode ser mitigado desativando os comandos de snapshot e restore via admin.snapshot.enabled e admin.restore.enabled, desativando toda a interface do AdminServer via admin.enableServer, ou garantindo que a Lista de Controle de Acesso (ACL) raiz não forneça permissões abertas. As ACLs do ZooKeeper não são recursivas, o que significa que isso não impacta operações em nós filhos além das notificações de watches recursivos.

Recomendações Atualize para a versão 3.9.4. Desative os comandos de snapshot e restore via admin.snapshot.enabled e admin.restore.enabled. Desative a interface do AdminServer via admin.enableServer. Garanta que a ACL raiz não forneça permissões abertas.