CVE-2023-30428 in Pulsar
الملخص
بحسب VulDB • 15/06/2026
ثغرة عدم صلاحية التفويض (Incorrect Authorization) في مكون Rest Producer الخاص بـ Apache Pulsar Broker التابع لمؤسسة Apache Software Foundation تتيح للمستخدم المصادق عليه الذي يرسل رأس HTTP مخصص إنتاج رسالة إلى أي موضوع (topic) باستخدام دور المسؤول (admin role) الخاص بالـ Broker. تؤثر هذه المشكلة في Apache Pulsar Brokers: من الإصدار 2.9.0 حتى 2.9.5، ومن الإصدار 2.10.0 قبل 2.10.4، والإصدار 2.11.0. يمكن استغلال الثغرة عندما يتمكن المهاجم من الاتصال مباشرة بـ Pulsar Broker. إذا كان المهاجم يتصل عبر Pulsar Proxy، فلا توجد طريقة معروفة لاستغلال ثغرة عدم صلاحية التفويض هذه. هناك خطران معروفان للمستخدمين المتأثرين. أولاً، يمكن للمهاجم إنتاج رسائل عشوائية (garbage messages) إلى أي موضوع في العنقود (cluster). ثانياً، يمكن للمهاجم إنتاج رسائل إلى موضوع سياسات مستوى الموضوع (topic level policies topic) الخاصين بعملاء آخرين (tenants)، مما يؤثر على إعدادات الموضوع التي قد تؤدي إلى استخراج و/أو حذف رسائل العملاء الآخرين. مستخدمو Pulsar Broker الإصدار 2.8 والإصدارات الأقدم غير متأثرين. يجب على مستخدمي Pulsar Broker الإصدار 2.9 الترقية إلى أحد الإصدارات المصححة. يجب على مستخدمي Pulsar Broker الإصدار 2.10 الترقية إلى الإصدار 2.10.4 على الأقل. يجب على مستخدمي Pulsar Broker الإصدار 2.11 الترقية إلى الإصدار 2.11.1 على الأقل. مستخدمو Pulsar Broker الإصدار 3.0 غير متأثرين.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.