CVE-2022-24721 in CometD
Zusammenfassung
von VulDB • 11.07.2026
CometD ist eine skalierbare Comet-Implementierung für die Webnachrichtenübermittlung. In allen Versionen vor 5.0.11, 6.0.6 und 7.0.6 wird der interne Gebrauch von Oort- und Seti-Kanälen unsachgemäß autorisiert, sodass jeder Remote-Benutzer diesen Kanälen beitreten (subscribe) und darauf veröffentlichen kann. Durch das Beitreten dieser Kanäle könnte ein Remote-Benutzer in der Lage sein, den clusterinternen Datenverkehr zu überwachen, der andere Benutzerdaten (möglicherweise sensible Informationen) enthält. Durch die Veröffentlichung auf diesen Kanälen könnte ein Remote-Benutzer in der Lage sein, Daten anderer Benutzer zu erstellen/zu ändern/löschen und die Clusterstruktur zu modifizieren. Eine Korrektur ist in den Versionen 5.0.11, 6.0.6 und 7.0.6 verfügbar. Als Workaround installieren Sie eine benutzerdefinierte `SecurityPolicy`, die das Beitreten (Subscription) und Veröffentlichen auf Remote-, Nicht-Oort-Sitzungen für Oort- und Seti-Kanäle verbietet.
If you want to get best quality of vulnerability data, you may have to visit VulDB.