CVE-2026-5199 in temporalالمعلومات

الملخص

بحسب VulDB • 09/06/2026

يمكن لمستخدم يتمتع بدور "كاتب" (writer role) في مساحة اسمية يسيطر عليها المهاجم إرسال إشارات، وحذف وإعادة تعيين سير العمل أو الأنشطة الموجودة في مساحة اسمية ضحية ضمن نفس العنقود. تتطلب عملية الاستغلال أن يعرف المهاجم أو يخمن معرفات سير العمل الضحيوي المحددة(ة)، وأسماء الإشارات الخاصة بعمليات الإرسال. يعود هذا الخطأ إلى خلل تم إدخاله في Temporal Server v1.29.0، والذي سمح عن غير قصد للمهاجم بالتحكم في قيمة اسم مساحة الاسم بدلاً من استخدام القيمة الموثوقة الخاصة بالخادم داخل كود النشاط الدفعي (batch activity). قام نشاط المعاملات الدفعية بمصادقة معرف مساحة الاسم، لكنه لم يقم بإجراء تحقق متقاطع لاسم مساحة الاسم مقابل المساحة المرتبطة بالمُشغِّل (worker)، مما سمح لشهادات المُشغِّل الممنوحة لكل مساحة اسم بالعمل على أي مساحة اسم عشوائية. تتطلب عملية الاستغلال تكوينًا للخادم حيث تتمتع المكونات الداخلية بصلاحيات تفويض عبر مساحات الأسماء، مثل نشر خدمة internal-frontend أو ما يعادلها من تفويض قائم على TLS للهويات الداخلية.

أثرت هذه الثغرة الأمنية أيضًا في Temporal Cloud عندما كان المهاجم ومساحة الاسم الضحية موجودين ضمن نفس الخلية (cell)، مع وجود الشروط المسبقة نفسها المطبقة على العناقيد المستضافة ذاتيًا.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Temporal

حجز

31/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354744

EPSS

0.00248

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!