一、基本情况
Kafka UI是Apache Kafka Management的开源Web UI,旨在简化Apache Kafka集群的管理和监控。
二、漏洞描述
Kafka UI中存在代码执行漏洞(CVE-2024-32030)。Kafka UI API允许用户通过指定网络地址和端口来连接到不同的Kafka brokers,并提供了通过连接到其JMX端口来监控Kafka brokers性能的功能,JMX基于RMI协议,因此可能容易受到反序列化攻击,且Kafka-UI默认未启用身份验证,威胁者可创建一个恶意JMX侦听器为任何RMI调用返回恶意序列化对象,成功利用该漏洞可能导致远程代码执行。
三、影响范围
Kafka UI <= 0.7.1
利用条件:
以下两个条件需要满足其一:
1、设置中设置了dynamic.config.enabled属性。默认情况下未启用,但在许多Kafka UI教程中建议启用它,包括其自己的README.md。
2、攻击者可以访问连接到Kafka UI的Kafka集群。在这种情况下,攻击者可以利用此漏洞扩展其访问权限并在Kafka UI上执行代码。
四、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Kafka UI >= 0.7.2
