在 Kafka UI 中发现了关键的 RCE 漏洞

realtime news  Jul 23, 2024 00:02  UTC 16:02

1 Min Read

根据GitHub 博客报道,研究人员在 Kafka UI 中发现了三个关键的远程代码执行 (RCE) 漏洞。Kafka UI 是一款开源的用于管理和监控 Apache Kafka 集群的网页应用程序。这些漏洞已在最新发布的 0.7.2 版本中得到修复,强烈建议用户更新系统以降低潜在的利用风险。

CVE-2023-52251:通过 Groovy 脚本执行的 RCE

第一个漏洞标识为 CVE-2023-52251,利用了 Kafka UI 中的消息过滤功能。攻击者可以使用 GROOVY_SCRIPT 过滤类型执行任意的 Groovy 脚本,从而导致潜在的远程代码执行。该漏洞可以通过简单的 HTTP GET 请求发起,使其高度可访问。该漏洞于 2023 年 11 月报告,并于 2024 年 4 月修补。

CVE-2024-32030:通过 JMX 连接器的 RCE

第二个漏洞 CVE-2024-32030 涉及 Kafka UI 使用的 Java Management Extensions (JMX) 连接器,用于监控 Kafka 代理。如果 dynamic.config.enabled 设置被激活,攻击者可以配置 Kafka UI 连接到恶意的 JMX 服务器,从而引发反序列化攻击。该漏洞也在 0.7.2 版本中修复。

CVE-2023-25194:通过 JndiLoginModule 的 RCE

第三个漏洞 CVE-2023-25194 利用了用于认证的 JndiLoginModule。攻击者可以操纵集群属性以触发远程代码执行。这个问题只有在 dynamic.config.enabled 属性设置为 true 时才可被利用。修复已包含在 0.7.2 版本中,禁止使用 JndiLoginModule。

建议 Kafka UI 用户升级到版本 0.7.2 以保护系统免受这些关键漏洞的影响。修复内容包括更新依赖项和增加更严格的控制以防止潜在的利用。



Read More