Autorización incorrecta en Apache Pulsar
Fecha de publicación 13/07/2023
Importancia
5 - Crítica
Recursos Afectados
Apache Pulsar, versiones:
- anteriores a 2.10.4;
- 2.11.0.
Descripción
Michael Marshall, investigador de DataStax, ha reportado una vulnerabilidad crítica que afecta a Apache Pulsar, cuya explotación podría permitir una escalada de privilegios.
Solución
Actualizar Apache Pulsar a las versiones:
- 2.10.4;
- 2.11.1.
Detalle
Pulsar 'Function Worker' realiza incorrectamente la autorización utilizando el rol del Proxy en lugar del rol del cliente, lo que podría conducir a una escalada de privilegios, especialmente si el Proxy está configurado con un rol de superusuario. Se ha asignado el identificador CVE-2023-30429 para esta vulnerabilidad.
Listado de referencias
Etiquetas