Recientemente se hizo pública una vulnerabilidad para Apache Pulsar Manager que podría permitir realizar un bypass al proceso de autenticación.

La vulnerabilidad, reportada a Apache por el investigador @threedr3am y etiquetada con el identificador CVE-2020-17520, afecta a la versión 0.1.0 de Apache Pulsar Manager, la herramienta con interfaz gráfica de usuario que permite realizar el monitoreo y administración de Apache Pulsar, un sistema de mensajería mantenido por la Apache Software Foundation como proyecto open source, que fue creado originalmente por Yahoo!.

En concreto, este error existe debido a un fallo en los mecanismos de verificación de los permisos, el cual podría permitir a un usuario malintencionado la construcción de URLs especiales para saltar el proceso de autenticación y conseguir acceso a cualquier API HTTP, todo ello de forma remota.

Apache ha procedido a lanzar el parche de seguridad que corrige este fallo, por lo que es recomendable actualizar a la última versión cuanto antes.

Más información:

CVE-2020-17520 MITRE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17520

[SECURITY] [CVE-2020-17520] Pulsar Manager security bug (bypass admin interceptor)
https://lists.apache.org/thread.html/rb8b3025f8b507dec0b66791df408cdaf2d155866db1c7a1a4bc621cd%40%3Cdev.pulsar.apache.org%3E