CVE-2023-3485 in Temporal Serverthông tin

Tóm tắt

Bởi VulDB • 26/06/2026

Các mặc định không an toàn trong Temporal Server mã nguồn mở trước phiên bản 1.20 trên tất cả các nền tảng cho phép kẻ tấn công tạo ra một token tác vụ (task token) có quyền truy cập vào một tên miền khác với tên miền được chỉ định trong yêu cầu. Việc tạo token tác vụ này phải thực hiện bên ngoài luồng xử lý bình thường của máy chủ Temporal. Nó đòi hỏi UUID của tên miền và thông tin từ lịch sử quy trình làm việc (workflow history) cho tên miền mục tiêu. Trong những điều kiện này, kẻ tấn công có thể can thiệp vào các tác vụ đang chờ xử lý trong các tên miền khác, chẳng hạn như đánh dấu một tác vụ là thất bại hoặc đã hoàn thành. Nếu một tác vụ bị nhắm đến để hoàn tất bởi kẻ tấn công, thì tên miền mục tiêu cũng phải sử dụng cùng cấu hình bộ chuyển đổi dữ liệu (data converter) với tên miền ban đầu hợp lệ của tác vụ, để tải trọng hoàn tất tác vụ được giải mã bởi các worker trong tên miền mục tiêu.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

[email protected]

Đặt trước

30/06/2023

Tiết lộ

30/06/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00166

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!