Apache Pulsar 主题级策略管理模块存在越权漏洞 (CVE-2024-28098)

漏洞类型 授权检查错误 发现时间 2024-03-13 漏洞等级 中危
MPS编号 MPS-2zt9-up36 CVE编号 CVE-2024-28098 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache Pulsar 是开源的分布式发布-订阅消息传递系统,主题级策略管理模块允许高权限用户(如租户管理员或超级用户角色)对主题应用特定的配置和策略。
受影响版本中存在身份验证不当漏洞,导致具有生产或消费权限的用户可通过Pulsar管理工具pulsar-admin、REST API或者Java代码修改主题级策略(例如消息保留策略、TTL 和卸载设置),进而窃取服务端敏感信息或导致服务中断。
参考链接:https://www.oscs1024.com/hd/MPS-2zt9-up36

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.pulsar:pulsar-broker [3.0.0, 3.0.3) 升级 将 org.apache.pulsar:pulsar-broker 升级至 3.0.3 及以上版本
org.apache.pulsar:pulsar-broker [3.2.0, 3.2.1) 升级 将 org.apache.pulsar:pulsar-broker 升级至 3.2.1 及以上版本
pulsar [2.10.0, 2.10.6) 升级 将组件 pulsar 升级至 2.10.6 及以上版本
pulsar [2.11.0, 2.11.4) 升级 将组件 pulsar 升级至 2.11.4 及以上版本
pulsar [3.0.0, 3.0.3) 升级 将组件 pulsar 升级至 3.0.3 及以上版本
pulsar [3.1.0, 3.1.3) 升级 将组件 pulsar 升级至 3.1.3 及以上版本
pulsar [3.2.0, 3.2.1) 升级 将组件 pulsar 升级至 3.2.1 及以上版本
org.apache.pulsar:pulsar-broker [2.10.0, 2.10.6) 升级 将 org.apache.pulsar:pulsar-broker 升级至 2.10.6 及以上版本
org.apache.pulsar:pulsar-broker [2.11.0, 2.11.4) 升级 将 org.apache.pulsar:pulsar-broker 升级至 2.11.4 及以上版本
org.apache.pulsar:pulsar-broker [3.1.0, 3.1.3) 升级 将 org.apache.pulsar:pulsar-broker 升级至 3.1.3 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2zt9-up36

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2zt9-up36

https://nvd.nist.gov/vuln/detail/CVE-2024-28098

https://pulsar.apache.org/security/CVE-2024-28098/

https://github.com/apache/pulsar/commit/5198554230a098246b8d78ef77ccf898aa54f86d

https://pulsar.apache.org/docs/next/admin-api-topics/

(0)
上一篇 2024年3月6日 下午12:00
下一篇 2024年3月15日 下午4:00

相关推荐

  • ansible 存在路径遍历漏洞 (CVE-2023-5115)

    漏洞类型 路径遍历 发现时间 2024-01-02 漏洞等级 中危 MPS编号 MPS-1rb9-vjfx CVE编号 CVE-2023-5115 漏洞影响广度 广 漏洞危害 OSCS 描述 ansible 是一款开源的 IT 自动化工具,可用于跨平台进行应用程序部署、工作站和服务器配置等。 ansible 受影响版本中,当使用“ansible-galaxy…

    2024年1月2日
    0
  • Kubernetes Windows node 命令注入漏洞 (CVE-2023-5528)

    漏洞类型 输入验证不恰当 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-wtbu-j6l2 CVE编号 CVE-2023-5528 漏洞影响广度 小 漏洞危害 OSCS 描述 Kubernetes是一个用于自动部署、扩展和管理容器化应用程序的平台。kubelet是Kubernetes用于运行节点上容器的代理组件(node agent)。…

    2023年11月16日
    0
  • Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-11-08 漏洞等级 中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台,它提供了许多功能,包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

    2023年11月8日
    0
  • Apache Flink Stateful Functions 存在 HTTP 标头注入漏洞 (CVE-2023-41139)

    漏洞类型 CRLF注入 发现时间 2023-09-20 漏洞等级 中危 MPS编号 MPS-g0z9-ja3f CVE编号 CVE-2023-41139 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Flink 是开源、分布式流处理框架,Stateful Functions 是 Apache Flink 的一个模块,用于构建分布式、弹性的实时应用…

    2023年9月21日
    0
  • Rust < 1.77.2 Windows命令注入漏洞 (CVE-2024-24576)

    漏洞类型 参数注入或修改 发现时间 2024-04-10 漏洞等级 严重 MPS编号 MPS-6mz0-wlgh CVE编号 CVE-2024-24576 漏洞影响广度 广 漏洞危害 OSCS 描述 Rust 是一种系统级编程语言,由 Mozilla 开发,旨在提供安全性、并发性和性能。 Rust 标准库在 Windows 上使用 Command API 调…

    5天前
    0