CVE-2023-3485 in Temporal Server
Résumé
par VulDB • 25/06/2026
Des paramètres par défaut non sécurisés dans le serveur open-source Temporal avant la version 1.20 sur toutes les plateformes permettent à un attaquant de créer un jeton de tâche (task token) avec accès à un espace de noms autre que celui spécifié dans la requête. La création de ce jeton de tâche doit être effectuée en dehors du flux normal du serveur Temporal. Cela nécessite l'UUID de l'espace de noms et des informations issues de l'historique des workflows pour l'espace de noms cible. Dans ces conditions, il est possible d'interférer avec les tâches en attente dans d'autres espaces de noms, par exemple en marquant une tâche comme échouée ou terminée. Si une tâche est ciblé pour être complétée par l'attaquant, l'espace de noms cible doit également utiliser la même configuration de convertisseur de données que celle de l'espace de noms initial et valide afin que le payload de complétion de la tâche soit décodé par les workers dans l'espace de noms cible.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.