Plateforme
apache
Composant
apache-pulsar
Corrigé dans
2.10.6
2.11.4
3.0.3
3.1.3
3.2.1
La vulnérabilité CVE-2024-27317 concerne un problème de traversal de répertoire dans Apache Pulsar Functions Worker. Elle permet à un utilisateur authentifié de télécharger des fonctions sous forme de fichiers JAR ou NAR, qui sont ensuite extraits. L'absence de validation appropriée des noms de fichiers dans ces archives ZIP permet à un attaquant d'exploiter cette faille pour modifier des fichiers en dehors du répertoire d'extraction prévu, compromettant potentiellement le système. Cette vulnérabilité affecte les versions de Pulsar comprises entre 2.4.0 et 3.2.1.
Un attaquant ayant accès authentifié à Pulsar Functions Worker peut exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système. En incluant des séquences de ".." dans les noms de fichiers des archives JAR/NAR téléchargées, l'attaquant peut contourner les contrôles d'accès et écrire des fichiers dans des emplacements inattendus, tels que des répertoires système critiques. Cela pourrait permettre de compromettre la configuration de Pulsar, d'installer des portes dérobées, ou même de prendre le contrôle complet du serveur. Le risque est amplifié si Pulsar est déployé dans un environnement multi-tenant, où un attaquant pourrait potentiellement affecter d'autres fonctions ou applications.
Cette vulnérabilité est actuellement publique et pourrait être exploitée. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la simplicité de l'exploitation rend la vulnérabilité potentiellement dangereuse. Aucune entrée n'est encore présente dans le KEV de CISA au moment de la rédaction. Des preuves de concept (PoC) pourraient rapidement être développées et diffusées, augmentant le risque d'exploitation.
Organizations heavily reliant on Apache Pulsar for stream processing and real-time data applications are particularly at risk. This includes those deploying Pulsar in production environments with limited security controls or those using older, unpatched versions (2.4.0–3.2.1). Shared hosting environments where multiple users can upload functions also present a heightened risk.
• linux / server:
journalctl -u pulsar-broker -g 'file creation outside designated directory'• generic web:
curl -I http://<pulsar_broker_url>/functions/<malicious_function_name>.jar | grep 'Server: Apache Pulsar'disclosure
Statut de l'Exploit
EPSS
1.03% (percentile 77%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Apache Pulsar vers la version 3.2.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions des utilisateurs authentifiés sur Pulsar Functions Worker. Il est également recommandé de mettre en place une surveillance accrue des fichiers téléchargés et extraits, en recherchant des anomalies dans les noms de fichiers ou les emplacements de destination. L'utilisation d'un proxy inverse ou d'un WAF (Web Application Firewall) peut également aider à bloquer les requêtes malveillantes contenant des séquences de traversal de répertoire. Vérifiez après la mise à jour que les fonctions sont correctement chargées et exécutées sans erreur.
Actualice Apache Pulsar a la versión 2.10.6 o superior si está utilizando la serie 2.10. Actualice a la versión 2.11.4 o superior si está utilizando la serie 2.11. Para las series 3.0, 3.1 y 3.2, actualice a las versiones 3.0.3, 3.1.3 y 3.2.1 respectivamente, o a una versión más reciente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-27317 is a HIGH severity vulnerability in Apache Pulsar versions 2.4.0–3.2.1 where malicious function uploads can exploit a directory traversal flaw, potentially allowing unauthorized file access and modification.
If you are running Apache Pulsar versions 2.4.0 through 3.2.1, you are potentially affected by this vulnerability. Immediate action is required.
The recommended fix is to upgrade Apache Pulsar to version 3.2.1 or later. Temporary workarounds include restricting file uploads and implementing strict filename validation.
While no active exploitation campaigns have been definitively confirmed, the vulnerability's nature and potential impact suggest that exploitation is likely. Monitor your systems closely.
Refer to the official Apache Pulsar security advisory for detailed information and updates: [https://pulsar.apache.org/security/CVE-2024-27317/](https://pulsar.apache.org/security/CVE-2024-27317/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.