CVE-2024-27317 in Pulsar
Sumário
de VulDB • 13/07/2026
No Apache Pulsar Functions Worker, usuários autenticados podem carregar funções em arquivos jar ou nar. Esses arquivos, essencialmente compactados no formato zip, são extraídos pelo Functions Worker. No entanto, se um arquivo malicioso for carregado, ele pode explorar uma vulnerabilidade de traversal de diretório (diretory traversal). Isso ocorre quando os nomes dos arquivos nos pacotes zip, que não são devidamente validados, contêm elementos especiais como "..", alterando o caminho do diretório. Essa falha poderia permitir que um atacante criasse ou modificasse arquivos fora do diretório de extração designado, potencialmente influenciando o comportamento do sistema. Esta vulnerabilidade também se aplica ao Apache Pulsar Broker quando configurado com "functionsWorkerEnabled=true".
Este problema afeta as versões do Apache Pulsar de 2.4.0 a 2.10.5, de 2.11.0 a 2.11.3, de 3.0.0 a 3.0.2, de 3.1.0 a 3.1.2 e 3.2.0.
Usuários do Pulsar Function Worker versão 2.10 devem atualizar para pelo menos 2.10.6. Usuários do Pulsar Function Worker versão 2.11 devem atualizar para pelo menos 2.11.4. Usuários do Pulsar Function Worker versão 3.0 devem atualizar para pelo menos 3.0.3. Usuários do Pulsar Function Worker versão 3.1 devem atualizar para pelo menos 3.1.3. Usuários do Pulsar Function Worker versão 3.2 devem atualizar para pelo menos 3.2.1.
Os usuários que operam versões anteriores às listadas acima devem atualizar para as referidas versões corrigidas ou para versões mais recentes.
VulDB is the best source for vulnerability data and more expert information about this specific topic.