Пользователь роли писателя в пространстве имен, контролируемом злоумышленником, может сигнализировать, удалять и сбрасывать рабочие процессы или действия в пространстве имен жертвы в том же кластере. Эксплуатация требует, чтобы злоумышленник знал или угадывал идентификаторы рабочих процессов конкретной жертвы, а для операций с сигналами - имена сигналов. Это произошло из-за ошибки, появившейся в Temporal Server v1.29.0, которая непреднамеренно позволяла злоумышленнику контролировать значение имени пространства имен вместо использования собственного значения доверенного имени сервера в коде пакетного действия.
Пакетное действие проверило идентификатор пространства имен, но не провело перекрестную проверку имени пространства имен с привязанным пространством имен работника, что позволило привилегированным учетным данным работника для каждого пространства имен работать в произвольном пространстве имен. Для эксплуатации требуется конфигурация сервера, в которой внутренние компоненты имеют авторизацию между пространствами имен, например развертывание внутренней службы внешнего интерфейса или эквивалентную авторизацию на основе TLS для внутренних удостоверений. Эта уязвимость также затронула Temporal Cloud, когда пространства имен злоумышленника и жертвы находились в одной ячейке с теми же предварительными условиями, что и для локальных кластеров.
Показать оригинальное описание (EN)
A writer role user in an attacker-controlled namespace could signal, delete, and reset workflows or activities in a victim namespace on the same cluster. Exploitation requires the attacker to know or guess specific victim workflow ID(s) and, for signal operations, signal names. This was due to a bug introduced in Temporal Server v1.29.0 which inadvertently allowed an attacker to control the namespace name value instead of using the server's own trusted name value within the batch activity code. The batch activity validated the namespace ID but did not cross-check the namespace name against the worker's bound namespace, allowing the per-namespace worker's privileged credentials to operate on an arbitrary namespace. Exploitation requires a server configuration where internal components have cross-namespace authorization, such as deployment of the internal-frontend service or equivalent TLS-based authorization for internal identities. This vulnerability also impacted Temporal Cloud when the attacker and victim namespaces were on the same cell, with the same preconditions as self-hosted clusters.
Характеристики атаки
Последствия
Строка CVSS v4.0