CVE-2024-27317 in Pulsarinformação

Sumário

de VulDB • 13/07/2026

No Apache Pulsar Functions Worker, usuários autenticados podem carregar funções em arquivos jar ou nar. Esses arquivos, essencialmente compactados no formato zip, são extraídos pelo Functions Worker. No entanto, se um arquivo malicioso for carregado, ele pode explorar uma vulnerabilidade de traversal de diretório (diretory traversal). Isso ocorre quando os nomes dos arquivos nos pacotes zip, que não são devidamente validados, contêm elementos especiais como "..", alterando o caminho do diretório. Essa falha poderia permitir que um atacante criasse ou modificasse arquivos fora do diretório de extração designado, potencialmente influenciando o comportamento do sistema. Esta vulnerabilidade também se aplica ao Apache Pulsar Broker quando configurado com "functionsWorkerEnabled=true".

Este problema afeta as versões do Apache Pulsar de 2.4.0 a 2.10.5, de 2.11.0 a 2.11.3, de 3.0.0 a 3.0.2, de 3.1.0 a 3.1.2 e 3.2.0.

Usuários do Pulsar Function Worker versão 2.10 devem atualizar para pelo menos 2.10.6. Usuários do Pulsar Function Worker versão 2.11 devem atualizar para pelo menos 2.11.4. Usuários do Pulsar Function Worker versão 3.0 devem atualizar para pelo menos 3.0.3. Usuários do Pulsar Function Worker versão 3.1 devem atualizar para pelo menos 3.1.3. Usuários do Pulsar Function Worker versão 3.2 devem atualizar para pelo menos 3.2.1.

Os usuários que operam versões anteriores às listadas acima devem atualizar para as referidas versões corrigidas ou para versões mais recentes.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Reservar

23/02/2024

Divulgação

12/03/2024

Moderação

aceite

Entrada

VDB-256587

CPE

pronto

EPSS

0.56934

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!