آسیبپذیری احراز هویت نامناسب با شناسه CVE-2023-37544 و شدت بالا 7.5 در Apache شناسایی شده است که امکان اتصال به نقطه پایانی (Endpoint) /pingpong بدون احراز هویت را برای مهاجم فراهم میکند که منجر به انکار سرویس به دلیل پذیرش هر نوع اتصال توسط WebSocket Proxy و انتقال بیش از حد داده به دلیل استفاده نادرست از ویژگی WebSocket ping/pong میشود.
محصولات تحت تأثیر
این آسیبپذیری Apache Pulsar WebSocket Proxy نسخههای 2.8.0 تا *.2.8، 2.9.0 تا *.2.9، 2.10.0 تا 2.10.4، 2.11.0 تا 2.11.1 و 3.0.0 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسخه 2.10 را حداقل به 2.10.5، 2.11 به 2.11.2 و 3.0 را به 3.0.1، ارتقاء دهند. همچنین تمام کاربرانی که از نسخههای 2.8، 2.9 و نسخههای قبلی استفاده میکنند باید آن را به نسخههای وصلهشده بالا ارتقا دهند.
منبع خبر:
- 38