一、漏洞详情
Apache Kafka是一款开源的分布式事件流平台,广泛用于高性能数据管道、流式分析和数据集成。
近日,监测到Kafka官方修复多个安全漏洞:
Apache Kafka客户端任意文件读取漏洞(CVE-2025-27817):由于在SASL/OAUTHBEARER和 SASL JAAS配置中未对URL和登录模块进行严格限制,从而造成的客户端的敏感数据和内网信息泄露;
Apache Kafka远程代码执行漏洞(CVE-2025-27818、CVE-2025-27819):因分别允许使用LdapLoginModule和JndiLoginModule,可能触发Java反序列化漏洞,进而导致远程代码执行或拒绝服务攻击。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
CVE-2025-27817:3.1.0 <= Apache Kafka <= 3.9.0
CVE-2025-27818:2.3.0 <= Apache Kafka <= 3.9.0
CVE-2025-27819:2.0.0 <= Apache Kafka <= 3.3.2
三、修复建议
建议用户尽快升级到以下或更高的安全版本:
Apache Kafka 3.9.1
Apache Kafka 4.0.0
Designed by