Vulnerabilidad en Apache ZooKeeper (CVE-2024-23944)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/03/2024
Última modificación:
03/07/2025
Descripción
Divulgación de información en el manejo de observadores persistentes en Apache ZooKeeper debido a la falta de verificación de ACL. Permite a un atacante monitorear znodes secundarios adjuntando un observador persistente (comando addWatch) a un padre al que el atacante ya tiene acceso. El servidor ZooKeeper no realiza una verificación de ACL cuando se activa el observador persistente y, como consecuencia, la ruta completa de los znodes sobre los que se activa un evento de vigilancia queda expuesta al propietario del observador. Es importante tener en cuenta que esta vulnerabilidad solo expone la ruta, no los datos de znode, pero dado que la ruta de znode puede contener información confidencial como el nombre de usuario o el ID de inicio de sesión, este problema es potencialmente crítico. Se recomienda a los usuarios actualizar a la versión 3.9.2, 3.8.4, que soluciona el problema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:zookeeper:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.7.2 (incluyendo) |
| cpe:2.3:a:apache:zookeeper:*:*:*:*:*:*:*:* | 3.8.0 (incluyendo) | 3.8.4 (excluyendo) |
| cpe:2.3:a:apache:zookeeper:*:*:*:*:*:*:*:* | 3.9.0 (incluyendo) | 3.9.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página