Vulnerabilidad en Apache Pulsar (CVE-2024-27317)

En Pulsar Functions Worker, los usuarios autenticados pueden cargar funciones en archivos jar o nar. Estos archivos, esencialmente archivos zip, son extraídos por Functions Worker. Sin embargo, si se carga un archivo malicioso, podría aprovechar una vulnerabilidad de cruce de directorio. Esto ocurre cuando los nombres de los archivos zip, que no están validados correctamente, contienen elementos especiales como "..", alterando la ruta del directorio. Esto podría permitir a un atacante crear o modificar archivos fuera del directorio de extracción designado, lo que podría influir en el comportamiento del sistema. Esta vulnerabilidad también se aplica al Pulsar Broker cuando está configurado con "functionsWorkerEnabled=true". Este problema afecta a las versiones de Apache Pulsar de 2.4.0 a 2.10.5, de 2.11.0 a 2.11.3, de 3.0.0 a 3.0.2, de 3.1.0 a 3.1.2 y 3.2.0. 2.10 Los usuarios de Pulsar Function Worker deben actualizar al menos a 2.10.6. 2.11 Los usuarios de Pulsar Function Worker deben actualizar al menos a 2.11.4. Los usuarios de 3.0 Pulsar Function Worker deben actualizar al menos a 3.0.3. 3.1 Los usuarios de Pulsar Function Worker deben actualizar al menos a 3.1.3. 3.2 Los usuarios de Pulsar Function Worker deben actualizar al menos a 3.2.1. Los usuarios que utilicen versiones anteriores a las enumeradas anteriormente deben actualizar a las versiones parcheadas antes mencionadas o a versiones más nuevas.