CVE-2023-30428 in Pulsar
Sumário
de VulDB • 15/06/2026
Vulnerabilidade de Autorização Incorreta no Rest Producer do Apache Pulsar Broker da Apache Software Foundation permite que um usuário autenticado com um cabeçalho HTTP personalizado produza uma mensagem para qualquer tópico usando a função de administrador do broker. Este problema afeta os Apache Pulsar Brokers: de 2.9.0 até 2.9.5, de 2.10.0 até antes de 2.10.4, e 2.11.0. A vulnerabilidade é explorável quando um atacante consegue se conectar diretamente ao Pulsar Broker. Se um atacante estiver se conectando através do Pulsar Proxy, não há nenhuma maneira conhecida de explorar essa vulnerabilidade de autorização. Existem dois riscos conhecidos para os usuários afetados. Primeiro, um atacante poderia produzir mensagens de lixo para qualquer tópico no cluster. Segundo, um atacante poderia produzir mensagens para o tópico de políticas de nível de tópico para outros inquilinos e influenciar as configurações de tópico que poderiam levar à exfiltração e/ou exclusão de mensagens para outros inquilinos. Usuários do Pulsar Broker 2.8 e anteriores não são afetados. Usuários do Pulsar Broker 2.9 devem atualizar para uma das versões corrigidas. Usuários do Pulsar Broker 2.10 devem atualizar para pelo menos 2.10.4. Usuários do Pulsar Broker 2.11 devem atualizar para pelo menos 2.11.1. Usuários do Pulsar Broker 3.0 não são afetados.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.