Vulnerabilidad detectada en Apache Pulsar Manager

Una vulnerabilidad clasificada como crítica fue encontrada en Apache Pulsar Manager 0.1.0 que podría permitir a un atacante realizar un bypass al proceso de autenticación y obtener acceso a cualquier API HTTP, debido a un error en el mecanismo de verificación de permisos.

Una función desconocida del componente Verification Handler es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una escalación de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

El advisory de la vulnerabilidad publicada puede ser descargado del List-Apache, la vulnerabilidad es identificada como CVE-2020-17520 y resulta fácil de explotar. El ataque se puede efectuar a través de la red local. La explotación no necesita ninguna autentificación específica. No se conocen los detalles técnicos ni hay ningún exploit disponible.

Recomendación

  • Apache ha procedido a lanzar el parche de seguridad que corrige este fallo, por lo que es recomendable actualizar a la última versión cuanto antes, ACTUALIZAR.

Referencias

Compartir: