Apache Pulsar: Pulsar Functions Worker 的归档提取漏洞允许未授权的文件修改

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在 Pulsar Functions Worker 的文件系统中写入任意文件，从而可能导致代码执行、数据泄露或拒绝服务。攻击者可以上传包含恶意代码的 JAR 或 NAR 文件，该代码在提取时会被执行，从而完全控制 Pulsar Functions Worker。更严重的是，如果攻击者能够修改 Pulsar Broker 的配置文件或关键文件，则可能导致整个集群受到影响，造成广泛的数据泄露和系统破坏。由于 Pulsar 广泛应用于实时数据处理和流式传输场景，因此该漏洞可能对金融、电商、物联网等行业造成重大影响。

Organizations heavily reliant on Apache Pulsar for stream processing and real-time data applications are particularly at risk. This includes those deploying Pulsar in production environments with limited security controls or those using older, unpatched versions (2.4.0–3.2.1). Shared hosting environments where multiple users can upload functions also present a heightened risk.

• linux / server:

journalctl -u pulsar-broker -g 'file creation outside designated directory'

• generic web:

curl -I http://<pulsar_broker_url>/functions/<malicious_function_name>.jar | grep 'Server: Apache Pulsar'

1. 2024-03-12Disclosure

   disclosure

1. 已保留2024-02-23
2. 发布日期2024-03-12
3. 修改日期2025-02-13
4. EPSS 更新日期2026-04-02

缓解此漏洞的首要措施是立即升级至 Apache Pulsar 3.2.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：严格审查所有上传的 JAR 和 NAR 文件，确保文件名不包含任何特殊字符，如“..”。实施更严格的访问控制策略，限制用户上传函数的权限。考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意文件上传请求。在 Pulsar Functions Worker 的日志中监控异常的文件创建或修改活动，并设置相应的告警。升级后，请验证函数上传功能是否正常工作，并检查文件系统是否存在未经授权的修改。