Plataforma
apache
Componente
apache-pulsar
Corregido en
2.10.6
2.11.4
3.0.3
3.1.3
3.2.1
Se ha identificado una vulnerabilidad de recorrido de directorios en Apache Pulsar Functions Worker. Esta falla permite a usuarios autenticados, mediante la subida de archivos JAR o NAR maliciosos, potencialmente ejecutar código arbitrario en el sistema. La vulnerabilidad afecta a las versiones 2.4.0 hasta la 3.2.1 y se ha publicado el 12 de marzo de 2024. La solución recomendada es actualizar a la versión 3.2.1.
La vulnerabilidad de recorrido de directorios en Apache Pulsar permite a un atacante autenticado subir archivos JAR o NAR que contengan nombres de archivo maliciosos con secuencias como "..". Al ser extraídos, estos archivos pueden escribir o modificar archivos fuera del directorio de extracción previsto. Esto podría resultar en la ejecución de código arbitrario, la modificación de la configuración del sistema o el acceso no autorizado a datos sensibles. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de los datos almacenados y procesados por Pulsar. La capacidad de ejecutar código arbitrario convierte esta vulnerabilidad en un riesgo crítico.
Actualmente, no se dispone de información pública sobre la explotación activa de esta vulnerabilidad. La vulnerabilidad ha sido añadida al KEV (Know Exploited Vulnerabilities) de CISA, lo que indica una probabilidad de explotación moderada a alta. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La publicación del CVE el 12 de marzo de 2024 sugiere que la vulnerabilidad es relativamente reciente y podría estar siendo explorada en secreto.
Organizations heavily reliant on Apache Pulsar for stream processing and real-time data applications are particularly at risk. This includes those deploying Pulsar in production environments with limited security controls or those using older, unpatched versions (2.4.0–3.2.1). Shared hosting environments where multiple users can upload functions also present a heightened risk.
• linux / server:
journalctl -u pulsar-broker -g 'file creation outside designated directory'• generic web:
curl -I http://<pulsar_broker_url>/functions/<malicious_function_name>.jar | grep 'Server: Apache Pulsar'disclosure
Estado del Exploit
EPSS
1.03% (77% percentil)
Vector CVSS
La mitigación principal para CVE-2024-27317 es actualizar Apache Pulsar a la versión 3.2.1 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de los nombres de archivo antes de permitir la subida de archivos JAR o NAR. Esta validación debe incluir la eliminación de secuencias como ".." y otros caracteres especiales que puedan ser utilizados para el recorrido de directorios. Además, se recomienda revisar y fortalecer los controles de acceso para limitar el acceso a la funcionalidad de subida de funciones solo a usuarios autorizados. Después de la actualización, confirme la mitigación revisando los logs del sistema en busca de intentos de acceso no autorizados o actividades sospechosas.
Actualice Apache Pulsar a la versión 2.10.6 o superior si está utilizando la serie 2.10. Actualice a la versión 2.11.4 o superior si está utilizando la serie 2.11. Para las series 3.0, 3.1 y 3.2, actualice a las versiones 3.0.3, 3.1.3 y 3.2.1 respectivamente, o a una versión más reciente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-27317 is a HIGH severity vulnerability in Apache Pulsar versions 2.4.0–3.2.1 where malicious function uploads can exploit a directory traversal flaw, potentially allowing unauthorized file access and modification.
If you are running Apache Pulsar versions 2.4.0 through 3.2.1, you are potentially affected by this vulnerability. Immediate action is required.
The recommended fix is to upgrade Apache Pulsar to version 3.2.1 or later. Temporary workarounds include restricting file uploads and implementing strict filename validation.
While no active exploitation campaigns have been definitively confirmed, the vulnerability's nature and potential impact suggest that exploitation is likely. Monitor your systems closely.
Refer to the official Apache Pulsar security advisory for detailed information and updates: [https://pulsar.apache.org/security/CVE-2024-27317/](https://pulsar.apache.org/security/CVE-2024-27317/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.