Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Pulsar (CVE-2024-27135)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
12/03/2024
Última modificación:
13/02/2025

Descripción

La validación de entrada incorrecta en Pulsar Function Worker permite que un usuario autenticado malicioso ejecute código Java arbitrario en Pulsar Function Worker, fuera de los entornos limitados designados para ejecutar funciones proporcionadas por el usuario. Esta vulnerabilidad también se aplica al Pulsar Broker cuando está configurado con "functionsWorkerEnabled=true". Este problema afecta a las versiones de Apache Pulsar de 2.4.0 a 2.10.5, de 2.11.0 a 2.11.3, de 3.0.0 a 3.0.2, de 3.1.0 a 3.1.2 y 3.2.0. 2.10 Los usuarios de Pulsar Function Worker deben actualizar al menos a 2.10.6. 2.11 Los usuarios de Pulsar Function Worker deben actualizar al menos a 2.11.4. Los usuarios de 3.0 Pulsar Function Worker deben actualizar al menos a 3.0.3. 3.1 Los usuarios de Pulsar Function Worker deben actualizar al menos a 3.1.3. 3.2 Los usuarios de Pulsar Function Worker deben actualizar al menos a 3.2.1. Los usuarios que utilicen versiones anteriores a las enumeradas anteriormente deben actualizar a las versiones parcheadas antes mencionadas o a versiones más nuevas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* 2.4.0 (incluyendo) 2.10.6 (excluyendo)
cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* 2.11.0 (incluyendo) 2.11.4 (excluyendo)
cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.0.3 (excluyendo)
cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* 3.1.0 (incluyendo) 3.1.3 (excluyendo)
cpe:2.3:a:apache:pulsar:3.2.0:-:*:*:*:*:*:*