基本信息
漏洞编号: CVE-2025-27818
危险等级: 高危
影响版本: Apache Kafka Client 2.3.0 至 3.9.0
受影响组件: kafka-clients
验证状态: 已验证
修复状态: 官方已发布补丁
漏洞详情
该漏洞源于 LdapLoginModule 配置的反序列化缺陷,攻击者若能控制 Kafka Connect 客户端的配置(如 SASL JAAS 配置或基于 SASL 的安全协议参数),可通过恶意配置触发远程代码执行。漏洞利用门槛低,已公开利用代码(POC),一旦被利用可造成严重影响,包括主机被完全控制、横向攻击等风险。
影响范围
影响版本
Apache Kafka Client 2.3.0 至 3.9.0
受影响的产品
- 使用 Kafka Connect 的所有应用与平台
- 基于 Apache Kafka 构建的消息系统或数据集成平台
- 依赖 kafka-clients 组件的微服务或中间件
验证方法
- 确认 kafka-clients 版本是否在 2.3.0 到 3.9.0 区间。
- 核查 Kafka Connect 服务配置,尤其是启用了 SASL/JAAS 配置的连接器。
- 通过官方或社区公开的 POC,在受控环境下验证漏洞是否可被利用(严禁在生产环境直接测试)。
修复方案
方案一:版本升级(推荐)
请将 kafka-clients 升级至官方修复版本 3.9.1 或以上。例如在 Maven 中:
<dependency>
<groupId>org.apache.kafka</groupId>
<artifactId>kafka-clients</artifactId>
<version>3.9.1</version>
</dependency>
方案二:临时缓解措施
若暂时无法升级,请加强对 Kafka Connect 客户端配置的访问控制,限制对 SASL/JAAS 相关配置的修改权限,避免被未授权用户篡改。同时,结合主机安全措施(如最小权限、配置加固等)降低被利用风险。