CVE-2023-30428 in Pulsar정보

요약

\~에 의해 VulDB • 2026. 06. 23.

Apache Software Foundation Apache Pulsar Broker의 Rest Producer에서 잘못된 권한 부여(Incorrect Authorization) 취약점이 발견되었습니다. 이 취약점을 통해 인증된 사용자가 사용자 정의 HTTP 헤더를 사용하여 브로커의 관리자 역할을 임의로 활용하여 모든 토픽에 메시지를 게시할 수 있습니다. 본 이슈는 다음 버전의 Apache Pulsar Broker에 영향을 미칩니다: 2.9.0부터 2.9.5까지, 2.10.0에서 2.10.4 이전 버전, 그리고 2.11.0이 해당됩니다. 공격자가 Pulsar Broker에 직접 연결할 수 있는 경우 이 권한 부여 취약점을 악용할 수 있습니다. 반면, 공격자가 Pulsar Proxy를 통해 연결하는 경우에는 본 권한 부여 취약점을 악용할 알려진 방법이 없습니다. 영향을 받는 사용자에게는 두 가지 주요 위험이 존재합니다. 첫째, 공격자는 클러스터 내 모든 토픽에 무작위 메시지(garbage messages)를 게시할 수 있습니다. 둘째, 공격자는 다른 테넌트의 토픽 레벨 정책(topic level policies) 토픽에 메시지를 게시하여 토픽 설정을 변경함으로써, 다른 테넌트의 데이터 유출(exfiltration) 및/또는 메시지 삭제(deletion)로 이어질 수 있는 상황을 초래할 수 있습니다. 2.8 이전 버전의 Pulsar Broker 사용자는 영향을 받지 않습니다. 2.9.x 버전을 사용하는 경우 패치된 버전 중 하나로 업그레이드해야 합니다. 2.10.x 버전을 사용하는 경우 최소한 2.10.4 이상으로 업그레이드해야 합니다. 2.11.x 버전을 사용하는 경우 최소한 2.11.1 이상으로 업그레이드해야 합니다. 3.0 버전의 Pulsar Broker 사용자는 영향을 받지 않습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!