一、基本情况
Apache Kafka是一个开源的分布式流处理平台,主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输,可广泛应用于日志收集、事件监控、流式计算等场景。Kafka通过Producer、Broker和Consumer构建消息管道,具备持久化、高可用和容错能力,广泛用于大数据和微服务架构中。
二、 漏洞描述
Apache发布的安全公告,披露Apache Kafka存在一个远程代码执行(RCE)漏洞(CVE-2025-27818)。攻击者可通过Kafka Connect配置中的sasl.jaas.config参数,将Kafka客户端指向恶意LDAP服务器,诱导服务器反序列化不可信数据,从而实现任意代码执行。该漏洞影响使用SASL JAAS配置的Kafka Connect集群,特别是在未对登录模块进行限制配置的环境中。自Kafka 3.9.1/4.0.0起,官方已默认禁用相关高风险登录模块,并提供系统属性用于细化控制。建议用户及时升级受影响版本,强化配置审计,降低风险。
三、 影响范围
2.3.0 ≤ Apache Kafka ≤ 3.9.0
四、 修复建议
Apache Kafka 3.9.1 / 4.0.0及以上版本(默认禁用高风险LoginModule,提供登录模块白名单机制)。
