Vulnerabilidad en Apache Pulsar (CVE-2024-27894)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
12/03/2024
Última modificación:
19/01/2025
Descripción
Pulsar Functions Worker incluye una capacidad que permite a los usuarios autenticados crear funciones donde se hace referencia a la implementación de la función mediante una URL. Los esquemas de URL admitidos incluyen "archivo", "http" y "https". Cuando se crea una función utilizando este método, Functions Worker recuperará la implementación de la URL proporcionada por el usuario. Sin embargo, esta característica introduce una vulnerabilidad que puede ser aprovechada por un atacante para obtener acceso no autorizado a cualquier archivo para el que el proceso Pulsar Functions Worker tenga permisos de lectura. Esto incluye la lectura del entorno del proceso, que potencialmente incluye información confidencial, como secretos. Además, un atacante podría aprovechar esta vulnerabilidad para utilizar Pulsar Functions Worker como proxy para acceder al contenido de las URL de endpoints HTTP y HTTPS remotos. Esto también podría usarse para llevar a cabo ataques de denegación de servicio. Esta vulnerabilidad también se aplica al Pulsar Broker cuando está configurado con "functionsWorkerEnabled=true". Este problema afecta a las versiones de Apache Pulsar de 2.4.0 a 2.10.5, de 2.11.0 a 2.11.3, de 3.0.0 a 3.0.2, de 3.1.0 a 3.1.2 y 3.2.0. 2.10 Los usuarios de Pulsar Function Worker deben actualizar al menos a 2.10.6. 2.11 Los usuarios de Pulsar Function Worker deben actualizar al menos a 2.11.4. Los usuarios de 3.0 Pulsar Function Worker deben actualizar al menos a 3.0.3. 3.1 Los usuarios de Pulsar Function Worker deben actualizar al menos a 3.1.3. 3.2 Los usuarios de Pulsar Function Worker deben actualizar al menos a 3.2.1. Los usuarios que utilicen versiones anteriores a las enumeradas anteriormente deben actualizar a las versiones parcheadas antes mencionadas o a versiones más nuevas. Las versiones actualizadas de Pulsar Functions Worker impondrán, de forma predeterminada, restricciones a la creación de funciones mediante URL. Para los usuarios que dependen de esta funcionalidad, la configuración de Function Worker proporciona dos claves de configuración: "additionalEnabledConnectorUrlPatterns" y "additionalEnabledFunctionsUrlPatterns". Estas claves permiten a los usuarios especificar un conjunto de patrones de URL permitidos, lo que permite la creación de funciones utilizando URL que coinciden con los patrones definidos. Este enfoque garantiza que la función permanezca disponible para quienes la requieren, al tiempo que limita el potencial de acceso y explotación no autorizados.
Impacto
Puntuación base 3.x
8.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | 2.10.6 (excluyendo) |
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 2.11.0 (incluyendo) | 2.11.4 (excluyendo) |
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.3 (excluyendo) |
| cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:* | 3.1.0 (incluyendo) | 3.1.3 (excluyendo) |
| cpe:2.3:a:apache:pulsar:3.2.0:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/12/11
- https://lists.apache.org/thread/45cqhgqg8d19ongjw18ypcss8vwh206p
- https://pulsar.apache.org/security/CVE-2024-27894/
- http://www.openwall.com/lists/oss-security/2024/03/12/11
- https://lists.apache.org/thread/45cqhgqg8d19ongjw18ypcss8vwh206p
- https://pulsar.apache.org/security/CVE-2024-27894/