CVE-2022-24721 in CometDinfo

Zusammenfassung

von VulDB • 11.07.2026

CometD ist eine skalierbare Comet-Implementierung für die Webnachrichtenübermittlung. In allen Versionen vor 5.0.11, 6.0.6 und 7.0.6 wird der interne Gebrauch von Oort- und Seti-Kanälen unsachgemäß autorisiert, sodass jeder Remote-Benutzer diesen Kanälen beitreten (subscribe) und darauf veröffentlichen kann. Durch das Beitreten dieser Kanäle könnte ein Remote-Benutzer in der Lage sein, den clusterinternen Datenverkehr zu überwachen, der andere Benutzerdaten (möglicherweise sensible Informationen) enthält. Durch die Veröffentlichung auf diesen Kanälen könnte ein Remote-Benutzer in der Lage sein, Daten anderer Benutzer zu erstellen/zu ändern/löschen und die Clusterstruktur zu modifizieren. Eine Korrektur ist in den Versionen 5.0.11, 6.0.6 und 7.0.6 verfügbar. Als Workaround installieren Sie eine benutzerdefinierte `SecurityPolicy`, die das Beitreten (Subscription) und Veröffentlichen auf Remote-, Nicht-Oort-Sitzungen für Oort- und Seti-Kanäle verbietet.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

10.02.2022

Veröffentlichung

15.03.2022

Moderieren

akzeptiert

Eintrag

VDB-195144

CPE

bereit

EPSS

0.01101

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!