Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02677

Опубликовано: 12 мар. 2024
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость прокси-сервера облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию и вызвать отказ в обслуживании

Вендор

Apache Software Foundation

Наименование ПО

Pulsar

Версия ПО

от 2.6.0 до 2.10.6 (Pulsar)
от 2.11.0 до 2.11.3 (Pulsar)
от 3.0.0 до 3.0.2 (Pulsar)
от 3.1.0 до 3.1.1 (Pulsar)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://pulsar.apache.org/security/CVE-2022-34321/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.0004
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2022-34321

CVSS3: 8.2
redhat
почти 2 года назад

Improper Authentication vulnerability in Apache Pulsar Proxy allows an attacker to connect to the /proxy-stats endpoint without authentication. The vulnerable endpoint exposes detailed statistics about live connections, along with the capability to modify the logging level of proxied connections without requiring proper authentication credentials. This issue affects Apache Pulsar versions from 2.6.0 to 2.10.5, from 2.11.0 to 2.11.2, from 3.0.0 to 3.0.1, and 3.1.0. The known risks include exposing sensitive information such as connected client IP and unauthorized logging level manipulation which could lead to a denial-of-service condition by significantly increasing the proxy's logging overhead. When deployed via the Apache Pulsar Helm chart within Kubernetes environments, the actual client IP might not be revealed through the load balancer's default behavior, which typically obscures the original source IP addresses when externalTrafficPolicy is being configured to "Cluster" by defa...

nvd логотип

CVE-2022-34321

CVSS3: 8.2
nvd
почти 2 года назад

Improper Authentication vulnerability in Apache Pulsar Proxy allows an attacker to connect to the /proxy-stats endpoint without authentication. The vulnerable endpoint exposes detailed statistics about live connections, along with the capability to modify the logging level of proxied connections without requiring proper authentication credentials. This issue affects Apache Pulsar versions from 2.6.0 to 2.10.5, from 2.11.0 to 2.11.2, from 3.0.0 to 3.0.1, and 3.1.0. The known risks include exposing sensitive information such as connected client IP and unauthorized logging level manipulation which could lead to a denial-of-service condition by significantly increasing the proxy's logging overhead. When deployed via the Apache Pulsar Helm chart within Kubernetes environments, the actual client IP might not be revealed through the load balancer's default behavior, which typically obscures the original source IP addresses when externalTrafficPolicy is being configured to "Cluster" by defau

github логотип

GHSA-c35h-w8hj-mm55

CVSS3: 8.2
github
почти 2 года назад

Apache Pulsar: Improper Authentication for Pulsar Proxy Statistics Endpoint

EPSS

Процентиль: 12%
0.0004
Низкий

8.2 High

CVSS3

8.5 High

CVSS2