PT-2026-23852 · Apache · Apache Zookeeper

Nikita Markevich

·

Publicado

2026-01-01

·

Atualizado

2026-05-18

·

CVE-2026-24281

CVSS v3.1

7.4

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do Apache ZooKeeper anteriores à 3.8.6 Versões do Apache ZooKeeper anteriores à 3.9.5
Descrição Existe uma falha no processo de verificação de hostname dentro do ZKTrustManager do Apache ZooKeeper. Quando a validação do IP Subject Alternative Name (SAN) falha, o sistema incorretamente recorre à consulta de registros DNS reverso (PTR). Isso permite que atacantes que controlam ou manipulam registros PTR potencialmente se passem por servidores ou clientes ZooKeeper, mesmo ao apresentar um certificado confiado pelo ZKTrustManager. A exploração bem-sucedida requer que o atacante possua um certificado que já seja confiado pelo sistema, tornando o ataque mais complexo.
Recomendações Atualize para a versão 3.8.6 do Apache ZooKeeper. Atualize para a versão 3.9.5 do Apache ZooKeeper.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-297CWE-295CWE-350

Identificadores relacionados

BIT-ZOOKEEPER-2026-24281
CLEANSTART-2026-AO61361
CLEANSTART-2026-AV84730
CLEANSTART-2026-CF62516
CLEANSTART-2026-DY69070
CLEANSTART-2026-EZ90321
CLEANSTART-2026-GN46454
CLEANSTART-2026-IS05941
CLEANSTART-2026-JK47870
CLEANSTART-2026-JU62349
CLEANSTART-2026-KB76878
CLEANSTART-2026-KV09488
CLEANSTART-2026-LO22603
CLEANSTART-2026-RD06185
CLEANSTART-2026-SQ91016
CLEANSTART-2026-SR31778
CLEANSTART-2026-SV95049
CLEANSTART-2026-TK07726
CLEANSTART-2026-VN28553
CLEANSTART-2026-WK99982
CVE-2026-24281
GHSA-7XRH-HQFC-G7QR

Produtos afetados

Apache Zookeeper