Platform
apache
Component
apache-pulsar
Opgelost in
2.10.6
2.11.4
3.0.3
3.1.3
3.2.1
CVE-2024-27317 beschrijft een Directory Traversal kwetsbaarheid in Apache Pulsar Functions Worker. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang en manipulatie van bestanden op het systeem. Deze kwetsbaarheid treft Pulsar versies 2.4.0 tot en met 3.2.1. Een patch is beschikbaar in versie 3.2.1.
Deze Directory Traversal kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om bestanden buiten de beoogde extractiedirectory van de Pulsar Functions Worker te schrijven. Dit kan leiden tot het overschrijven van configuratiebestanden, het uitvoeren van willekeurige code of het verkrijgen van gevoelige informatie. De impact is aanzienlijk, aangezien een aanvaller de functionaliteit van de Pulsar-omgeving kan verstoren of compromitteren. De kwetsbaarheid is vergelijkbaar met bekende directory traversal exploits waarbij zip-bestanden met gemanipuleerde bestandsnamen worden gebruikt om de directory structuur te omzeilen. De ernst wordt verhoogd door het feit dat de Pulsar Functions Worker vaak wordt gebruikt voor het verwerken van kritieke data streams.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-03-12. Er zijn momenteel geen bekende actieve exploits in de wild, maar de publicatie van de kwetsbaarheid en de relatief eenvoudige exploitatie methode verhogen de kans op toekomstige aanvallen. De KEV status is momenteel onbekend. Er zijn geen publieke Proof-of-Concept (POC) exploits beschikbaar, maar de kwetsbaarheid is eenvoudig te reproduceren, wat de kans op POC publicatie vergroot.
Organizations heavily reliant on Apache Pulsar for stream processing and real-time data applications are particularly at risk. This includes those deploying Pulsar in production environments with limited security controls or those using older, unpatched versions (2.4.0–3.2.1). Shared hosting environments where multiple users can upload functions also present a heightened risk.
• linux / server:
journalctl -u pulsar-broker -g 'file creation outside designated directory'• generic web:
curl -I http://<pulsar_broker_url>/functions/<malicious_function_name>.jar | grep 'Server: Apache Pulsar'disclosure
Exploit Status
EPSS
1.03% (77% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar Apache Pulsar versie 3.2.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge validatie van bestandsnamen bij het uploaden van JAR/NAR bestanden. Dit kan worden bereikt door een WAF (Web Application Firewall) te configureren om uploads met verdachte bestandsnamen (zoals "..") te blokkeren. Controleer ook de configuratie van de Pulsar Functions Worker om ervoor te zorgen dat de extractiedirectory zo beperkt mogelijk is. Na de upgrade, verifieer de fix door een test JAR/NAR bestand met een gemanipuleerde bestandsnaam te uploaden en te controleren of de extractie plaatsvindt in de verwachte directory.
Actualice Apache Pulsar a la versión 2.10.6 o superior si está utilizando la serie 2.10. Actualice a la versión 2.11.4 o superior si está utilizando la serie 2.11. Para las series 3.0, 3.1 y 3.2, actualice a las versiones 3.0.3, 3.1.3 y 3.2.1 respectivamente, o a una versión más reciente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-27317 is a HIGH severity vulnerability in Apache Pulsar versions 2.4.0–3.2.1 where malicious function uploads can exploit a directory traversal flaw, potentially allowing unauthorized file access and modification.
If you are running Apache Pulsar versions 2.4.0 through 3.2.1, you are potentially affected by this vulnerability. Immediate action is required.
The recommended fix is to upgrade Apache Pulsar to version 3.2.1 or later. Temporary workarounds include restricting file uploads and implementing strict filename validation.
While no active exploitation campaigns have been definitively confirmed, the vulnerability's nature and potential impact suggest that exploitation is likely. Monitor your systems closely.
Refer to the official Apache Pulsar security advisory for detailed information and updates: [https://pulsar.apache.org/security/CVE-2024-27317/](https://pulsar.apache.org/security/CVE-2024-27317/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.