Autorización incorrecta en Apache Pulsar

Fecha de publicación 13/07/2023
Importancia
5 - Crítica
Recursos Afectados

Apache Pulsar, versiones:

  • anteriores a 2.10.4;
  • 2.11.0.
Descripción

Michael Marshall, investigador de DataStax, ha reportado una vulnerabilidad crítica que afecta a Apache Pulsar, cuya explotación podría permitir una escalada de privilegios.

Solución

Actualizar Apache Pulsar a las versiones:

  • 2.10.4;
  • 2.11.1.
Detalle

Pulsar 'Function Worker' realiza incorrectamente la autorización utilizando el rol del Proxy en lugar del rol del cliente, lo que podría conducir a una escalada de privilegios, especialmente si el Proxy está configurado con un rol de superusuario. Se ha asignado el identificador CVE-2023-30429 para esta vulnerabilidad.

Listado de referencias
CVE-2023-30429: Apache Pulsar: Incorrect Authorization for Function Worker when using mTLS Authentication through Pulsar Proxy
Apache Pulsar Incorrect Authorization vulnerability
Etiquetas