CVE-2022-24721 in CometD
Riassunto
di VulDB • 11/07/2026
CometD è un'implementazione scalabile del protocollo comet per la messaggistica web. In tutte le versioni precedenti alla 5.0.11, 6.0.6 e 7.0.6, l'utilizzo interno dei canali Oort e Seti non è autorizzato correttamente, consentendo a qualsiasi utente remoto di iscriversi (subscribe) e pubblicare messaggi su tali canali. Iscrivendosi a questi canali, un utente remoto potrebbe essere in grado di osservare il traffico interno al cluster che contiene dati di altri utenti (eventualmente sensibili). Pubblicando su questi canali, un utente remoto potrebbe essere in grado di creare/modificare/eliminare i dati di altri utenti e modificare la struttura del cluster. Una correzione è disponibile nelle versioni 5.0.11, 6.0.6 e 7.0.6. Come soluzione alternativa (workaround), installare una `SecurityPolicy` personalizzata che vieti l'iscrizione e la pubblicazione su sessioni remote non Oort nei canali Oort e Seti.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.