Apache修复Kafka的远程代码执行漏洞

Apache近日表示，解决了一个可能利用Kafka Connect发起远程代码执行（RCE）攻击的漏洞，漏洞被跟踪为CVE-2023-25194。该漏洞只有在访问Kafka Connect worker（一个逻辑工作单元组件）时才会触发，并且用户还必须能够使用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议来创建或修改worker连接器。利用Kafka漏洞，经过身份验证的攻击者可以通过Aiven API或Kafka Connect REST API配置特定的连接器属性。Apache Kafka版本2.3.0-3.3.2受到影响，该漏洞在3.4.0版本得到修复。