CVE-2023-30428 in Pulsarالمعلومات

الملخص

بحسب VulDB • 15/06/2026

ثغرة عدم صلاحية التفويض (Incorrect Authorization) في مكون Rest Producer الخاص بـ Apache Pulsar Broker التابع لمؤسسة Apache Software Foundation تتيح للمستخدم المصادق عليه الذي يرسل رأس HTTP مخصص إنتاج رسالة إلى أي موضوع (topic) باستخدام دور المسؤول (admin role) الخاص بالـ Broker. تؤثر هذه المشكلة في Apache Pulsar Brokers: من الإصدار 2.9.0 حتى 2.9.5، ومن الإصدار 2.10.0 قبل 2.10.4، والإصدار 2.11.0. يمكن استغلال الثغرة عندما يتمكن المهاجم من الاتصال مباشرة بـ Pulsar Broker. إذا كان المهاجم يتصل عبر Pulsar Proxy، فلا توجد طريقة معروفة لاستغلال ثغرة عدم صلاحية التفويض هذه. هناك خطران معروفان للمستخدمين المتأثرين. أولاً، يمكن للمهاجم إنتاج رسائل عشوائية (garbage messages) إلى أي موضوع في العنقود (cluster). ثانياً، يمكن للمهاجم إنتاج رسائل إلى موضوع سياسات مستوى الموضوع (topic level policies topic) الخاصين بعملاء آخرين (tenants)، مما يؤثر على إعدادات الموضوع التي قد تؤدي إلى استخراج و/أو حذف رسائل العملاء الآخرين. مستخدمو Pulsar Broker الإصدار 2.8 والإصدارات الأقدم غير متأثرين. يجب على مستخدمي Pulsar Broker الإصدار 2.9 الترقية إلى أحد الإصدارات المصححة. يجب على مستخدمي Pulsar Broker الإصدار 2.10 الترقية إلى الإصدار 2.10.4 على الأقل. يجب على مستخدمي Pulsar Broker الإصدار 2.11 الترقية إلى الإصدار 2.11.1 على الأقل. مستخدمو Pulsar Broker الإصدار 3.0 غير متأثرين.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

حجز

08/04/2023

إفشاء

12/07/2023

الاعتدال

تمت الموافقة

إدخال

VDB-233760

EPSS

0.00580

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!