CVE-2023-3485 in Temporal Serverinformation

Résumé

par VulDB • 25/06/2026

Des paramètres par défaut non sécurisés dans le serveur open-source Temporal avant la version 1.20 sur toutes les plateformes permettent à un attaquant de créer un jeton de tâche (task token) avec accès à un espace de noms autre que celui spécifié dans la requête. La création de ce jeton de tâche doit être effectuée en dehors du flux normal du serveur Temporal. Cela nécessite l'UUID de l'espace de noms et des informations issues de l'historique des workflows pour l'espace de noms cible. Dans ces conditions, il est possible d'interférer avec les tâches en attente dans d'autres espaces de noms, par exemple en marquant une tâche comme échouée ou terminée. Si une tâche est ciblé pour être complétée par l'attaquant, l'espace de noms cible doit également utiliser la même configuration de convertisseur de données que celle de l'espace de noms initial et valide afin que le payload de complétion de la tâche soit décodé par les workers dans l'espace de noms cible.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

[email protected]

Réserver

30/06/2023

Divulgation

30/06/2023

Modérer

accepté

Entrée

VDB-232770

CPE

prêt

EPSS

0.00166

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!