CVE-2023-3485 in Temporal ServerИнформация

Сводка

по VulDB • 25.06.2026

Небезопасные настройки по умолчанию в open-source Temporal Server до версии 1.20 на всех платформах позволяют злоумышленнику создать токен задачи с доступом к пространству имен (namespace), отличному от указанного в запросе. Создание такого токена должно осуществляться вне обычного потока работы сервера Temporal. Для этого требуются UUID пространства имен и информация из истории рабочего процесса для целевого пространства имен. При соблюдении этих условий возможно вмешательство в ожидающие задачи в других пространствах имен, например, отметка задачи как выполненной или завершенной с ошибкой.

Если задача нацелена злоумышленником на выполнение (completion), то целевое пространство имен также должно использовать ту же конфигурацию конвертера данных, что и исходное действительное пространство имен для полезной нагрузки завершения задачи, чтобы она могла быть декодирована рабочими процессами в целевом пространстве имен.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

[email protected]

Резервировать

30.06.2023

Раскрытие

30.06.2023

Модерация

принято

Вход

VDB-232770

EPSS

0.00166

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!