Описание
If Apache Pulsar is configured to authenticate clients using tokens based on JSON Web Tokens (JWT), the signature of the token is not validated if the algorithm of the presented token is set to "none". This allows an attacker to connect to Pulsar instances as any user (incl. admins).
Ссылки
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.7.1 (исключая)
cpe:2.3:a:apache:pulsar:*:*:*:*:*:*:*:*
EPSS
Процентиль: 95%
0.18529
Средний
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-347
Связанные уязвимости
CVSS3: 9.8
github
больше 4 лет назад
Improper Verification of Cryptographic Signature in Apache Pulsar in TensorFlow
CVSS3: 9.8
fstec
больше 4 лет назад
Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с некорректной проверкой криптографической подписи, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 95%
0.18529
Средний
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-347