Vulnerabilidad en Apache Pulsar (CVE-2024-29834)

Esta vulnerabilidad permite a los usuarios autenticados con permisos de producción o consumo realizar operaciones no autorizadas en temas particionados, como descargar temas y activar la compactación. Estas operaciones de administración deben restringirse a los usuarios con la función de administrador de inquilinos o la función de superusuario. Un usuario autenticado con permiso de producción puede crear suscripciones y actualizar propiedades de suscripción en temas particionados, aunque esto debería limitarse a usuarios con permisos de consumo. Este análisis de impacto supone que Pulsar se ha configurado con el proveedor de autorización predeterminado. Para los proveedores de autorizaciones personalizadas, el impacto podría ser ligeramente diferente. Además, la vulnerabilidad permite a un usuario autenticado leer, crear, modificar y eliminar propiedades de espacio de nombres en cualquier espacio de nombres de cualquier inquilino. En Pulsar, las propiedades del espacio de nombres están reservadas para los metadatos proporcionados por el usuario sobre el espacio de nombres. Este problema afecta a las versiones de Apache Pulsar de 2.7.1 a 2.10.6, de 2.11.0 a 2.11.4, de 3.0.0 a 3.0.3, de 3.1.0 a 3.1.3 y de 3.2.0 a 3.2. 1. Los usuarios de Apache Pulsar 3.0 deben actualizar al menos a 3.0.4. Los usuarios de Apache Pulsar 3.1 y 3.2 deben actualizar al menos a 3.2.2. Los usuarios que utilicen versiones anteriores a las enumeradas anteriormente deben actualizar a las versiones parcheadas antes mencionadas o a versiones más nuevas.