CVE-2026-5724: Authentication Bypass in go.temporal.io/server

यह भेद्यता हमलावरों को go.temporal.io/server के प्रतिकृति स्ट्रीम तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। प्रतिकृति स्ट्रीम में वर्कफ़्लो डेटा और अन्य संवेदनशील जानकारी शामिल हो सकती है। हमलावर इस जानकारी का उपयोग डेटा चोरी करने, वर्कफ़्लो को बाधित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकता है। चूंकि यह एंडपॉइंट WorkflowService के समान पोर्ट पर पंजीकृत है और इसे स्वतंत्र रूप से अक्षम नहीं किया जा सकता है, इसलिए भेद्यता का शोषण करना अपेक्षाकृत आसान है। यदि प्रतिकृति कॉन्फ़िगर किया गया है, तो डेटा चोरी का जोखिम बढ़ जाता है।

Organizations utilizing go.temporal.io/server for workflow orchestration, particularly those with exposed frontend ports and replication configured, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' workflows.

• go / server:

ps aux | grep 'temporal server' | grep 'AdminService/StreamWorkflowReplicationMessages'

• generic web:

curl -I <temporal_server_ip>:7233/AdminService/StreamWorkflowReplicationMessages

• generic web:

grep -r 'AdminService/StreamWorkflowReplicationMessages' /etc/temporal/temporal.yaml

1. 2026-04-10Disclosure

   disclosure

1. आरक्षित2026-04-06
2. प्रकाशित2026-04-10
3. संशोधित2026-04-13
4. EPSS अद्यतन2026-04-18

CVE-2026-5724 को कम करने के लिए, go.temporal.io/server को 1.28.4 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो प्रतिकृति स्ट्रीम एंडपॉइंट तक नेटवर्क पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों या अन्य नेटवर्क सुरक्षा नियंत्रणों का उपयोग करें। सुनिश्चित करें कि आपके सभी वर्कफ़्लो और प्रतिकृति कॉन्फ़िगरेशन सुरक्षित हैं और केवल अधिकृत उपयोगकर्ताओं द्वारा ही एक्सेस किए जा सकते हैं। अपग्रेड के बाद, यह सत्यापित करें कि प्रमाणीकरण इंटरसेप्टर सही ढंग से लागू किया गया है और प्रतिकृति स्ट्रीम तक अनधिकृत पहुंच को रोका गया है।