一、 漏洞 CVE-2025-58457 基础信息
漏洞信息
                                        # Apache ZooKeeper 管理服务器快照权限漏洞

## 概述

ZooKeeper AdminServer 存在权限校验不充分的问题,授权用户可在缺乏足够权限的情况下执行快照和恢复命令。

## 影响版本

- Apache ZooKeeper 3.9.0 到 3.9.4 之前的版本(即不包括 3.9.4)

## 细节

- AdminServer 未正确校验用户权限。
- 攻击者可利用该漏洞运行 `snapshot` 和 `restore` 命令。
- 该问题源于权限控制逻辑不严谨,即使用户无对应权限仍可触发操作。

## 影响

- 允许具备部分权限的用户执行敏感的快照和恢复操作。
- 可能导致数据泄露、数据篡改或服务中断。

## 修复建议

- 升级至 ZooKeeper 3.9.4。
- 或通过以下方式进行临时缓解:
  - 禁用快照和恢复命令:设置 `admin.snapshot.enabled=false` 和 `admin.restore.enabled=false`
  - 禁用 AdminServer:设置 `admin.enableServer=false`
  - 确保为 root ACL 设置严格的权限控制(注意:ZooKeeper ACL 并不递归应用于子节点)
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache ZooKeeper: Insufficient Permission Check in AdminServer Snapshot/Restore Commands
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper permission check in ZooKeeper AdminServer lets authorized clients to run snapshot and restore command with insufficient permissions. This issue affects Apache ZooKeeper: from 3.9.0 before 3.9.4. Users are recommended to upgrade to version 3.9.4, which fixes the issue. The issue can be mitigated by disabling both commands (via admin.snapshot.enabled and admin.restore.enabled), disabling the whole AdminServer interface (via admin.enableServer), or ensuring that the root ACL does not provide open permissions. (Note that ZooKeeper ACLs are not recursive, so this does not impact operations on child nodes besides notifications from recursive watches.)
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分权限或特权的处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache ZooKeeper 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Zookeeper是美国阿帕奇(Apache)基金会的一个软件项目,它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。 Apache ZooKeeper 3.9.0版本至3.9.4之前版本存在安全漏洞,该漏洞源于权限检查不当,可能导致授权客户端以不足权限运行快照和恢复命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-58457 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-58457 的情报信息
四、漏洞 CVE-2025-58457 的评论

暂无评论

发表评论