リモートホストでリッスンしている Apache ZooKeeper のバージョンは、 3.8.6 [] より前の 3.8.x または 3.9.x3.9.5] より前の です。そのため、以下の複数の脆弱性の影響を受けます。

  - ZKConfig の構成値の不適切な処理により、攻撃者が、クライアントのログファイルのクライアント構成に保存されている機密情報を漏洩させる可能性があります。構成値が INFO レベルのロギングで漏洩し、問題の影響を受ける潜在的な実稼働システムをレンダリングします。
    (CVE-2026-24308)

  - Apache ZooKeeper ZKTrustManager のホスト名検証は、IP SAN 検証が失敗すると、リバース DNSPTRにフォールバックするため、PTR レコードをコントロールまたは偽装する攻撃者が、PTR 名の有効な証明書を持つ ZooKeeper サーバーまたはクライアントになりすます可能性があります。攻撃者は、ZKTrustManager によって信頼される証明書を提示する必要があります。これにより、攻撃ベクトルが悪用されにくくなります。CVE-2026-24281

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Apache ZooKeeper 3.8.x < 3.8.6/3.9.x < 3.9.5の複数の脆弱性

high Nessus プラグイン ID 301976

バージョン 1.3