Masked namespace vulnerability in Temporal
3 months ago
- #vulnerability
- #security
- #temporal
- 开发者青睐捆绑式API的原子性与高效性,但安全工程师警告其复杂性和潜在漏洞风险
- 在Temporal的ExecuteMultiOperation端点中发现漏洞(CVE-2025-14986),涉及身份绑定缺陷——内部操作可指定与外部请求不同的命名空间
- Temporal是Netflix、Stripe等企业的核心基础设施,能确保服务器故障时仍可靠执行代码
- 该漏洞允许攻击者通过操纵捆绑操作中的命名空间字段绕过授权检查,可能导致跨租户隔离突破和政策覆盖
- 实际攻击案例包括访问其他租户的私有数据库架构,以及用宽松的个人账户设置覆盖严格的组织策略
- Temporal v1.27版本修复方案强制要求内部操作命名空间必须与外部授权空间匹配,彻底消除该漏洞