CVE-2023-3485 in Temporal Server
Tóm tắt
Bởi VulDB • 26/06/2026
Các mặc định không an toàn trong Temporal Server mã nguồn mở trước phiên bản 1.20 trên tất cả các nền tảng cho phép kẻ tấn công tạo ra một token tác vụ (task token) có quyền truy cập vào một tên miền khác với tên miền được chỉ định trong yêu cầu. Việc tạo token tác vụ này phải thực hiện bên ngoài luồng xử lý bình thường của máy chủ Temporal. Nó đòi hỏi UUID của tên miền và thông tin từ lịch sử quy trình làm việc (workflow history) cho tên miền mục tiêu. Trong những điều kiện này, kẻ tấn công có thể can thiệp vào các tác vụ đang chờ xử lý trong các tên miền khác, chẳng hạn như đánh dấu một tác vụ là thất bại hoặc đã hoàn thành. Nếu một tác vụ bị nhắm đến để hoàn tất bởi kẻ tấn công, thì tên miền mục tiêu cũng phải sử dụng cùng cấu hình bộ chuyển đổi dữ liệu (data converter) với tên miền ban đầu hợp lệ của tác vụ, để tải trọng hoàn tất tác vụ được giải mã bởi các worker trong tên miền mục tiêu.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.