从这个网页截图中,可以获取到以下关于漏洞的关键信息: Security Policy 报告流程:遵循ASF安全漏洞处理流程。 报告方式:通过Apache安全团队或发送邮件至 和 。 Security Advisories 2025 CVE-2025-30677:Apache Pulsar IO Kafka Connector和Adaptor中记录了敏感信息。 2024 CVE-2024-47561:在Avro Java SDK <1.11.4中存在关键RCE漏洞。 CVE-2024-29834:命名空间和主题管理端点的不当授权。 CVE-2024-34321:Pulsar Proxy统计端点的不当身份验证。 CVE-2024-27135:Pulsar Function Worker中的输入验证问题导致远程代码执行。 CVE-2024-27317:Pulsar Functions Worker的存档提取漏洞允许未经授权的文件修改。 CVE-2024-27894:Pulsar Functions Worker允许未经授权的文件访问和HTTP/HTTPS代理。 CVE-2024-28098:主题级别策略管理的不当授权。 CVE-2023-51437:SASL令牌签名验证中的定时攻击。 2023 CVE-2023-37544:WebSocket代理端点的不当身份验证导致DoS。 CVE-2023-31007:Broker在认证数据过期时未断开客户端连接。 CVE-2023-30428:Rest Producer的不正确授权验证。 CVE-2023-30429:使用mTLS认证时Function Worker的不正确授权。 CVE-2023-37579:Function Worker可能泄露Sink/Source凭据。 2022 CVE-2021-41571:Pulsar Admin API允许通过getMessageById API访问其他租户的数据。 CVE-2022-24280:Apache Pulsar Proxy目标Broker地址未验证。 CVE-2022-33681:Java客户端和Proxy中的主机名验证不当可能导致MITM攻击。 CVE-2022-33682:禁用主机名验证使Broker、Proxy和Admin客户端易受MITM攻击。 CVE-2022-33683:禁用证书验证使Broker、Proxy和Admin客户端易受MITM攻击。 CVE-2022-33684:Apache Pulsar C++/Python OAuth客户端在3.0.0之前版本易受MITM攻击。 2021 CVE-2021-22160:JWT认证允许使用“none”算法。