CVE-2023-3485 in Temporal Server
摘要
由 VulDB • 2026-06-26
在 Temporal Server 1.20 之前的开源版本中,所有平台上的不安全默认配置允许攻击者构造一个任务令牌(task token),从而访问与请求中指出的命名空间不同的其他命名空间。创建此任务令牌必须在正常的 Temporal 服务器流程之外进行。这需要目标命名空间的 UUID 以及该目标命名空间中工作流历史的信息。在这些条件下,有可能干扰其他命名空间中的待处理任务,例如将任务标记为失败或已完成。
如果攻击者针对某个任务的完成进行操作,则目标命名空间必须与用于初始有效任务完成负载的命名空间使用相同的数据转换器配置,以便目标命名空间中的工作者能够解码该任务完成负载。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.