一、基本情况
Apache Kafka是一个开源的分布式流处理平台,主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输,可广泛应用于日志收集、事件监控、流式计算等场景。Kafka通过Producer、Broker和Consumer构建消息管道,具备持久化、高可用和容错能力,广泛用于大数据和微服务架构中。
二、 漏洞描述
Apache发布安全公告,披露Apache Kafka Broker存在一个远程代码执行(RCE)漏洞(CVE-2025-27819)。攻击者如具备AlterConfigs权限,可通过修改SASL JAAS配置启用JndiLoginModule,诱使Broker连接至恶意JNDI服务,触发Java反序列化链,最终导致任意代码执行或拒绝服务(DoS)攻击。另外在Apache Kafka Client中存在一个任意文件读取与SSRF漏洞(CVE-2025-27817)。攻击者可通过配置sasl.oauthbearer.token.endpoint.url和sasl.oauthbearer.jwks.endpoint.url参数,读取服务器磁盘文件、环境变量,或向任意目标地址发起请求。在Kafka Connect场景中,攻击者可借助REST API接口实现权限提升,访问文件系统、环境信息,或发起SSRF攻击。
三、 影响范围
CVE-2025-27819:2.0.0 ≤ Apache Kafka ≤ 3.3.2
CVE-2025-27817:3.1.0 ≤ Apache Kafka Client ≤ 3.9.0
四、 修复建议
CVE-2025-27817:建议将Apache Kafka Client升级至4.0.0或以上版本,默认启用URL白名单机制,显著降低风险。
CVE-2025-27819:建议将Apache Kafka升级至3.9.1或以上版本,默认禁用高风险登录模块,降低远程代码执行风险。
