Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06620

Опубликовано: 09 апр. 2025
Источник: fstec
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Описание

Уязвимость плагина Apache Pulsar IO Kafka Connector и программного обеспечения Apache Pulsar IO Kafka Connect Adaptor связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Apache Software Foundation

Наименование ПО

Apache Pulsar IO Kafka Connector
Apache Pulsar IO Kafka Connect Adaptor

Версия ПО

от 2.3.0 до 3.0.11 (Apache Pulsar IO Kafka Connector)
от 3.1.0 до 3.3.6 (Apache Pulsar IO Kafka Connector)
от 4.0.0 до 4.0.4 (Apache Pulsar IO Kafka Connector)
от 2.3.0 до 3.0.11 (Apache Pulsar IO Kafka Connect Adaptor)
от 3.1.0 до 3.3.6 (Apache Pulsar IO Kafka Connect Adaptor)
от 4.0.0 до 4.0.4 (Apache Pulsar IO Kafka Connect Adaptor)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.openwall.com/lists/oss-security/2025/04/09/2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00059
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-30677

nvd
2 месяца назад

Apache Pulsar contains multiple connectors for integrating with Apache Kafka. The Pulsar IO Apache Kafka Source Connector, Sink Connector, and Kafka Connect Adaptor Sink Connector log sensitive configuration properties in plain text in application logs. This vulnerability can lead to unintended exposure of credentials in log files, potentially allowing attackers with access to these logs to obtain Apache Kafka credentials. The vulnerability's impact is limited by the fact that an attacker would need access to the application logs to exploit this issue. This issue affects Apache Pulsar IO's Apache Kafka connectors in all versions before 3.0.11, 3.3.6, and 4.0.4. 3.0.x version users should upgrade to at least 3.0.11. 3.3.x version users should upgrade to at least 3.3.6. 4.0.x version users should upgrade to at least 4.0.4. Users operating versions prior to those listed above should upgrade to the aforementioned patched versions or newer versions.

github логотип

GHSA-rcqj-3fmp-5cqx

github
2 месяца назад

Apache Pulsar Kafka Connector Logs Sensitive Information in Application Logs

EPSS

Процентиль: 19%
0.00059
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2