关键漏洞信息 漏洞列表 CVE-2025-58457: Insufficient Permission Check in AdminServer Snapshot/Restore Commands - 严重性: 中等 - 受影响版本: Apache ZooKeeper 3.9.0 之前的 3.9.4 - 描述: 在ZooKeeper AdminServer中,权限检查不足,允许授权客户端在权限不足的情况下运行snapshot和restore命令。 CVE-2024-51504: Authentication bypass with IP-based authentication in Admin Server - 严重性: 重要 - 受影响版本: Apache ZooKeeper 3.9.0 之前的 3.9.3 - 描述: 使用IPAuthenticationProvider时,的身份验证可能会通过欺骗绕过,当前仅影响基于IP的ZooKeeper Admin Server中的身份验证实现。 CVE-2024-23944: Information disclosure in persistent watcher handling - 严重性: 严重 - 受影响版本: Apache ZooKeeper 3.6.0 之前的 3.7.2;3.8.0 之前的 3.8.3;3.9.0 之前的 3.9.1 - 描述: 由于处理持久观察者时未执行ACL检查,从而导致了Apache ZooKeeper中的信息泄露。 CVE-2023-44981: Authorization bypass in SASL Quorum Peer Authentication - 严重性: 严重 - 受影响版本: Apache ZooKeeper 3.7.0 之前的 3.7.1;3.8.0 之前的 3.8.2;3.9.0以及之前版本 - 描述: 在启用了SASL Quorum Peer认证的情况下,如果 SASL 认证ID中的实例部分在zoo.cfg中的服务器列表中列出,则执行授权。 CVE-2019-0201: Information disclosure vulnerability in Apache ZooKeeper - 严重性: 严重 - 受影响版本: ZooKeeper 3.4.14之前的版本和3.5.x系列的受支持版本 - 描述: 由于getACL()函数未进行任何权限检查,返回了所请求节点的ACL中的所有信息,导致了Apache ZooKeeper中的信息泄漏。 CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication - 严重性: 严重 - 受影响版本: ZooKeeper 3.4.10之前的版本和3.5.x系列的受支持版本 - 描述: 当服务器尝试加入Quorum时,不强制执行任何认证/授权,允许任意端点加入集群并开始向leader传播仿真更改。 CVE-2017-5637: DOS attack on wchp/wchc four letter words (4lw) - 严重性: 中等 - 受影响版本: ZooKeeper 3.4.0到3.4.9和ZooKeeper 3.5.0到3.5.2 - 描述: "wchp/wchc"两个四位字母命令是CPU密集型,如果滥用会导致ZooKeeper服务器CPU使用率激增,导致服务器无法为合法客户端请求提供服务。 CVE-2016-5017: Buffer overflow vulnerability in ZooKeeper C cli shell - 严重性: 中等 - 受影响版本: ZooKeeper 3.4.0到3.4.8和ZooKeeper 3.5.0到3.5.2 - 描述: ZooKeeper C客户端Shell "cli_st"和"cli_mt"中存在缓冲区溢出漏洞,与命令行解析时的"cmd"批处理模式语法相关。