Plattform
go
Komponente
go.temporal.io/server
Behoben in
1.30.4
1.29.6
1.28.4
1.28.4
CVE-2026-5724 describes an authentication bypass vulnerability within the go.temporal.io/server component. This flaw allows unauthorized access to the replication stream, potentially enabling data exfiltration. The vulnerability impacts versions before 1.28.4 and is addressed by upgrading to the patched version. A fix was released on an unspecified date.
CVE-2026-5724 in Temporal betrifft den gRPC-Server des Frontends, insbesondere die Streaming-Interceptor-Kette. Das Fehlen des Autorisierungs-Interceptors im Endpoint AdminService/StreamWorkflowReplicationMessages ermöglicht einem Angreifer mit Netzwerzzugriff, die Workflow-Replikation potenziell zu kompromittieren. Dieser Endpoint ist auf demselben Port wie WorkflowService registriert und kann nicht unabhängig deaktiviert werden. Obwohl ClaimMapper und Authorizer für unäre RPCs konfiguriert sind, akzeptierte der Streaming-Endpoint Anfragen ohne Anmeldedaten. Dieser Mangel an Authentifizierung und Autorisierung stellt ein erhebliches Risiko für die Integrität und Verfügbarkeit von Temporal-Workflows dar. Eine erfolgreiche Ausnutzung kann zu einer Unterbrechung der Replikation, Datenverstößen oder unbefugtem Zugriff auf sensible Workflow-Daten führen.
Ein Angreifer mit Netzwerzzugriff auf den Frontend-Port von Temporal kann diese Schwachstelle ausnutzen. Der Angreifer kann Anfragen an den Endpoint AdminService/StreamWorkflowReplicationMessages senden, ohne Anmeldedaten anzugeben, und erhält so Zugriff auf Workflow-Replikationsmeldungen. Dies kann dem Angreifer ermöglichen, die Replikation zu unterbrechen, replizierte Workflows zu ändern oder sensible Informationen zu extrahieren, die in den Meldungen enthalten sind. Die Unfähigkeit des Endpoints, unabhängig deaktiviert zu werden, und sein gemeinsamer Port mit WorkflowService verschärfen die Leichtigkeit der Ausnutzung. Das Fehlen von Authentifizierung und Autorisierung stellt eine kritische Sicherheitslücke dar, die sofortige Aufmerksamkeit erfordert.
Organizations utilizing go.temporal.io/server for workflow orchestration, particularly those with exposed frontend ports and replication configured, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' workflows.
• go / server:
ps aux | grep 'temporal server' | grep 'AdminService/StreamWorkflowReplicationMessages'• generic web:
curl -I <temporal_server_ip>:7233/AdminService/StreamWorkflowReplicationMessages• generic web:
grep -r 'AdminService/StreamWorkflowReplicationMessages' /etc/temporal/temporal.yamldisclosure
Exploit-Status
EPSS
0.12% (31% Perzentil)
CISA SSVC
Die primäre Abschwächung für CVE-2026-5724 ist das Upgrade von Temporal auf Version 1.28.4 oder höher. Diese Version enthält die Korrektur, die sicherstellt, dass der Autorisierungs-Interceptor korrekt auf die Streaming-Interceptor-Kette angewendet wird und so den Endpoint AdminService/StreamWorkflowReplicationMessages schützt. Beschränken Sie in der Zwischenzeit den Netzwerkzugriff auf den Temporal-Frontend-Port nur auf vertrauenswürdige Quellen. Überprüfen und stellen Sie sicher, dass Ihre ClaimMapper- und Authorizer-Konfigurationen korrekt implementiert sind und die restriktivsten Autorisierungspolicen erzwingen. Überwachen Sie die Temporal-Protokolle regelmäßig auf verdächtige Aktivitäten, um potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren.
Aktualisieren Sie Temporal auf Version 1.28.4 oder höher, um die Vulnerabilität zu entschärfen. Das Fehlen von Authentifizierung am Replikations-Endpoint ermöglicht es einem Angreifer mit Netzwerkzugriff, Daten zu exfiltrieren. Stellen Sie sicher, dass die Replikationskonfiguration korrekt eingerichtet ist und der Cluster geschützt ist.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Temporal ist ein verteiltes Workflow-Orchestrierungssystem.
Sie ermöglicht einem Angreifer, die Workflow-Replikation potenziell zu kompromittieren.
Aktualisieren Sie auf Version 1.28.4 oder höher.
Beschränken Sie den Netzwerkzugriff auf den Temporal-Frontend-Port.
Konsultieren Sie die offizielle Temporal-Dokumentation und die Versionshinweise für Version 1.28.4.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.