PT-2025-54224 · Temporal · Temporal
Publicado
2025-12-30
·
Atualizado
2026-02-07
·
CVE-2025-14986
CVSS v4.0
1.3
Baixa
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:U/S:N/AU:Y/R:U/RE:L/U:Green |
Nome do Software Vulnerável e Versões Afetadas
Versões do Temporal de 1.24.0 a 1.29.1
Descrição
Quando a configuração
frontend.enableExecuteMultiOperation está habilitada, o servidor aplica incorretamente a validação e os feature gates com escopo de namespace. Especificamente, ele usa o campo Namespace de uma StartWorkflowExecutionRequest incorporada em vez do Namespace da ExecuteMultiOperationRequest autorizada. Isso permite que um usuário autorizado para um namespace contorne os limites e políticas desse namespace definindo o namespace da requisição incorporada para um namespace diferente. A criação do workflow ainda ocorre dentro do namespace autorizado, mas a validação e o controle de gates são realizados usando o contexto de namespace incorreto.Recomendações
Atualize para a versão 1.27.4 do Temporal.
Atualize para a versão 1.28.2 do Temporal.
Atualize para a versão 1.29.2 do Temporal.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Temporal