Vulnerabilidad en Apache Pulsar WebSocket Proxy (CVE-2023-37544)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
20/12/2023
Última modificación:
04/01/2024
Descripción
Vulnerabilidad de autenticación incorrecta en Apache Pulsar WebSocket Proxy permite a un atacante conectarse al endpoint /pingpong sin autenticación. Este problema afecta a Apache Pulsar WebSocket Proxy: desde 2.8.0 hasta 2.8.*, desde 2.9.0 hasta 2.9.*, desde 2.10.0 hasta 2.10.4, desde 2.11.0 hasta 2.11.1, 3.0.0. Los riesgos conocidos incluyen una denegación de servicio debido a que WebSocket Proxy acepta cualquier conexión y una transferencia excesiva de datos debido al mal uso de la función de ping/pong de WebSocket. 2.10 Los usuarios de Pulsar WebSocket Proxy deben actualizar al menos a 2.10.5. 2.11 Los usuarios de Pulsar WebSocket Proxy deben actualizar al menos a 2.11.2. 3.0 Los usuarios de Pulsar WebSocket Proxy deben actualizar al menos a 3.0.1. 3.1 Los usuarios de Pulsar WebSocket Proxy no se ven afectados. Cualquier usuario que ejecute Pulsar WebSocket Proxy para 2.8, 2.9 y versiones anteriores debe actualizar a una de las versiones parcheadas anteriores.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 2.10.5 (excluyendo) | |
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 2.11.0 (incluyendo) | 2.11.2 (excluyendo) |
| cpe:2.3:a:apache:pulsar:3.0.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página