Apache Pulsar:Pulsar Functions Worker 允许未经授权的文件访问和未经授权的 HTTP/HTTPS 代理 (CVE-2024-27894)
CVE编号
CVE-2024-27894利用情况
暂无补丁情况
N/A披露时间
2024-03-13漏洞描述
Apache Pulsar Functions Worker中存在一个漏洞,允许经过身份验证的用户创建函数,其中函数的实现由URL引用。支持的URL方案包括"file"、"http"和"https"。当使用此方法创建函数时,Functions Worker将从用户提供的URL中检索实现。然而,这一功能引入了一个漏洞,黑客可以利用它来未经授权访问Pulsar Functions Worker进程具有读取权限的任何文件,包括读取可能包含敏感信息的进程环境,如秘钥。此外,黑客可以利用这一漏洞利用Pulsar Functions Worker作为代理,访问远程HTTP和HTTPS端点URL的内容。这也可以用来进行拒绝服务攻击。此漏洞还适用于配置为"functionsWorkerEnabled=true"的Pulsar Broker。受影响的Apache Pulsar版本包括从2.4.0到2.10.5, 2.11.0到2.11.3, 3.0.0到3.0.2, 3.1.0到3.1.2以及3.2.0。对于2.10 Pulsar Function Worker用户,应升级至至少2.10.6。对于2.11 Pulsar Function Worker用户,应升级至至少2.11.4。对于3.0 Pulsar Function Worker用户,应升级至至少3.0.3。对于3.1 Pulsar Function Worker用户,应升级至至少3.1.3。对于3.2 Pulsar Function Worker用户,应升级至至少3.2.1。运行在上述列出的版本之前的用户应升级至上述补丁版本或更新版本。更新版本的Pulsar Functions Worker将默认限制使用URL创建函数。对于依赖此功能的用户,Function Worker配置提供两个配置密钥:"additionalEnabledConnectorUrlPatterns"和"additionalEnabledFunctionsUrlPatterns"。这些密钥允许用户指定一组允许的URL模式,从而使匹配定义模式的URL创建函数成为可能。这种方法确保了需要该功能的用户仍能使用它,同时限制了未经授权访问和利用的可能性。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://lists.apache.org/thread/45cqhgqg8d19ongjw18ypcss8vwh206p | |
| https://pulsar.apache.org/security/CVE-2024-27894/ |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论