Informazioni sul CVE-2024-29834
Apache Pulsar: Improper Authorization For Namespace and Topic Management Endpoints
CWE ID: CWE-863
Base Score (CVSS): N/A
CVE: CVE-2024-29834
Descrizione: Questa vulnerabilità consente agli utenti autenticati con permessi di produrre o consumare di eseguire operazioni non autorizzate su argomenti divisi, come sblocco di argomenti e attivazione di compattazione. Queste operazioni di gestione devono essere limitate agli utenti con il ruolo di amministratore del tenant o superutente. Un utente autenticato con permesso di produrre può creare sottoscrizioni e aggiornare le proprietà delle sottoscrizioni su argomenti divisi, anche se questo dovrebbe essere limitato agli utenti con permessi di consumare. Questo studio di impatto presume che Pulsar sia stato configurato con l’fornitore di autorizzazione predefinito. Per provider di autorizzazione personalizzati, l’impatto potrebbe essere leggermente diverso. Inoltre, la vulnerabilità consente a un utente autenticato di leggere, creare, modificare e eliminare le proprietà di meta del namespace in qualsiasi namespace in qualsiasi tenant. In Pulsar, le proprietà del namespace sono riservate per i metadati forniti dagli utenti. Questo problema si applica a versioni di Apache Pulsar dal 2.7.1 al 2.10.6, dal 2.11.0 al 2.11.4, dal 3.0.0 al 3.0.3, dal 3.1.0 al 3.1.3 e dal 3.2.0 al 3.2.1. Gli utenti 3.0 di Apache Pulsar devono aggiornare almeno a 3.0.4. Gli utenti 3.1 e 3.2 di Apache Pulsar devono aggiornare almeno a 3.2.2. Gli utenti che utilizzano versioni precedenti a quelle elencate sopra devono aggiornare alle versioni patchate o più recenti.**
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://pulsar.apache.org/security/CVE-2024-29834/
- https://lists.apache.org/thread/v0ltl94k9lg28qfr1f54hpkvvsjc5bj5
- http://www.openwall.com/lists/oss-security/2024/04/02/2
Prodotti interessati
- Apache Software Foundation – Apache Pulsar
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Pulsar
Anno: 2024
CWE: CWE-863
CVSS: 0.0