Bypass de autenticación en Apache Pulsar Manager

Se ha hecho pública una vulnerabilidad crítica en Apache Pulsar Manager, identificada como CVE-2020-17520, una funcionalidad del componente Verification Handler es afectada por este fallo y podría permitir a un atacante remoto pasar por alto el rol administrador de pulsar-manager y obtener acceso a cualquier API HTTP.

Login Form

El ataque se puede efectuar a través de la red local. La explotación no necesita ninguna autentificación específica y al momento, no se conoce los detalles técnicos ni hay ningún exploit disponible.

La vulnerabilidad afecta a la versión 0.1.0 de Apache Pulsar Manager.

Apache ha lanzado un parche de seguridad que corrige esta vulnerabilidad, por lo que se recomienda actualizar a la versión 0.2.0 o posterior.

Referencias: