CVE-2023-30428 in Pulsarinformación

Resumen

por VulDB • 2026-06-20

Vulnerabilidad de Autorización Incorrecta en el Rest Producer del Apache Pulsar Broker de la Apache Software Foundation que permite a un usuario autenticado con una cabecera HTTP personalizada producir mensajes en cualquier tema utilizando el rol de administrador del broker. Este problema afecta a los brokers de Apache Pulsar: desde 2.9.0 hasta 2.9.5, desde 2.10.0 antes de 2.10.4 y 2.11.0. La vulnerabilidad es explotable cuando un atacante puede conectarse directamente al broker de Pulsar. Si el atacante se conecta a través del proxy de Pulsar, no hay ninguna forma conocida para explotar esta vulnerabilidad de autorización. Hay dos riesgos conocidos para los usuarios afectados: en primer lugar, un atacante podría producir mensajes basura en cualquier tema dentro del clúster; y segundo, un atacante podría producir mensajes al nivel de políticas del tema para otros inquilinos e influir en la configuración del tema que podría llevar a exfiltración o eliminación de mensajes para otros inquilinos. Los usuarios de 2.8 Pulsar Broker y anteriores no están afectados. Los usuarios de 2.9 Pulsar Broker deben actualizar a una de las versiones parcheadas. Los usuarios de 2.10 Pulsar Broker deben actualizar al menos hasta la versión 2.10.4. Los usuarios de 2.11 Pulsar Broker deben actualizar al menos hasta la versión 2.11.1. Los usuarios de 3.0 Pulsar Broker no están afectados.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservar

2023-04-08

Divulgación

2023-07-12

Moderación

aceptado

Artículo

VDB-233760

CPE

listo

EPSS

0.00580

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!