CVE-2026-5724
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 - wyżej niż 41% wszystkich znanych CVE
Streszczenie
W serwerze gRPC frontendu Temporal brakowało interceptora autoryzacji w łańcuchu przetwarzania strumieniowego. Skonfigurowane ClaimMapper i Authorizer były pomijane dla endpointu AdminService/StreamWorkflowReplicationMessages, co pozwalało na dostęp bez uwierzytelnienia.
Ocena ryzyka
Atakujący z dostępem sieciowym do portu frontendu może otworzyć strumień replikacji bez uwierzytelnienia, co przy znajomości konfiguracji klastra i poprawnie skonfigurowanym celu replikacji umożliwia eksfiltrację danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Temporal Server do wersji 1.28.4, 1.29.6, 1.30.4, 1.31.2 lub 1.32.0 (lub nowszej) w zależności od używanej linii wydań.
Oryginalny opis (angielski, źródło NVD)
The frontend gRPC server's streaming interceptor chain did not include the authorization interceptor. When a ClaimMapper and Authorizer are configured, unary RPCs enforce authentication and authorization, but the streaming AdminService/StreamWorkflowReplicationMessages endpoint accepted requests without credentials. This endpoint is registered on the same port as WorkflowService and cannot be disabled independently. An attacker with network access to the frontend port could open the replication stream without authentication. Data exfiltration is possible, but only when a configured replication target is correctly configured and the attacker has knowledge of the cluster configuration, as the history service validates cluster IDs and peer membership before returning replication data. The fix was applied per release line: it is present in 1.28.4, 1.29.6, 1.30.4, 1.31.2, and 1.32.0 and later releases on each line. Releases 1.31.0 and 1.31.1 do not contain the fix and are affected. Temporal Cloud is not affected.

