平台
go
组件
go.temporal.io/server
修复版本
1.30.4
1.29.6
1.28.4
1.28.4
CVE-2026-5724 描述了 go.temporal.io/server 中的一个认证绕过漏洞。该漏洞源于前端 gRPC 服务器的流式拦截器链缺少身份验证拦截器,导致未经身份验证即可访问 WorkflowReplicationMessages 流。受影响的版本包括 1.28.4 之前的版本。已发布安全补丁,建议立即升级。
此漏洞允许攻击者在没有凭证的情况下打开复制流,从而绕过身份验证机制。虽然直接的数据泄露可能需要特定的复制配置,但攻击者可以利用此漏洞访问敏感数据。潜在影响包括未经授权的访问 Temporal 工作流数据,可能导致数据泄露、篡改或破坏。由于该端点与 WorkflowService 共享端口且无法独立禁用,因此攻击面相对较大,增加了被利用的风险。
该漏洞已公开披露,但目前尚无公开的利用程序 (PoC)。CISA 尚未将其添加到 KEV 目录。由于该漏洞允许未经身份验证的访问,因此存在潜在的利用风险,尤其是在缺乏适当网络隔离的情况下。建议密切监控 Temporal 服务器的流量,以检测任何可疑活动。
Organizations utilizing go.temporal.io/server for workflow orchestration, particularly those with exposed frontend ports and replication configured, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' workflows.
• go / server:
ps aux | grep 'temporal server' | grep 'AdminService/StreamWorkflowReplicationMessages'• generic web:
curl -I <temporal_server_ip>:7233/AdminService/StreamWorkflowReplicationMessages• generic web:
grep -r 'AdminService/StreamWorkflowReplicationMessages' /etc/temporal/temporal.yamldisclosure
漏洞利用状态
EPSS
0.12% (31% 百分位)
CISA SSVC
最有效的缓解措施是立即升级至 1.28.4 或更高版本。如果升级会中断现有系统,可以考虑临时限制对 WorkflowReplicationMessages 端点的网络访问,例如通过防火墙规则或网络策略。此外,可以实施 Web 应用防火墙 (WAF) 规则,以检测和阻止未经授权的访问尝试。升级后,请验证身份验证拦截器已正确配置并生效,以确保端点受到保护。
升级 Temporal 到 1.28.4 或更高版本以缓解漏洞。复制端点缺乏身份验证允许具有网络访问权限的攻击者窃取数据。请确保复制配置已正确配置,并且集群已得到保护。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5724 是 go.temporal.io/server 中一个认证绕过漏洞,允许未经身份验证的访问 WorkflowReplicationMessages 流,可能导致数据泄露。
如果您正在使用 1.28.4 之前的 go.temporal.io/server 版本,则可能受到此漏洞的影响。
立即升级至 1.28.4 或更高版本以修复此漏洞。如果升级不可行,请临时限制对 WorkflowReplicationMessages 端点的网络访问。
目前尚无公开的利用程序,但由于该漏洞允许未经身份验证的访问,因此存在潜在的利用风险。
请访问 go.temporal.io/security 页面,查找有关 CVE-2026-5724 的官方公告和安全建议。
上传你的 go.mod 文件,立即知道是否受影响。