一、概要
近日，基调听云关注到Apache ZooKeeper中，由于缺少 ACL（访问控制列表）检查，在处理持久性观察者（watchers）时存在信息泄露问题。攻击者通过向其已有访问权限的父节点附加一个持久性观察者（使用 addWatch 命令）来监视子节点。当持久性观察者被触发时，ZooKeeper 服务器不会进行ACL检查，观察者的拥有者可以获知触发观察事件的 znode 的完整路径。从而获取 znode 路径中可能包含的诸如用户名或登录 ID 等敏感信息。
参考链接：https://zookeeper.apache.org/security.html#CVE-2024-23944
二、威胁级别
威胁级别：【严重】
三、CVSS评分
暂无
四、漏洞影响范围
影响版本：3.9.0-3.9.1、3.8.0-3.8.3、3.6.0-3.7.2

安全版本：
3.9.2、3.8.4
五、漏洞排查及处置
目前，基调听云已发布新补丁修复了该漏洞，请受影响的用户联系相应的技术支持升级到安全版本。