【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819)
【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819)
启明星辰安全简讯 2025-06-10 10:17
一、漏洞概述
|
漏洞名称 |
Apache Kafka Broker JNDI远程代码执行漏洞 |
||
|
CVE ID |
CVE-2025-27819 |
||
|
漏洞类型 |
RCE |
发现时间 |
2025-06-10 |
|
漏洞评分 |
暂无 |
漏洞等级 |
高危 |
|
攻击向量 |
网络 |
所需权限 |
低 |
|
利用难度 |
低 |
用户交互 |
不需要 |
|
PoC/EXP |
未公开 |
在野利用 |
未发现 |
Apache Kafka是一个开源的分布式流处理平台,主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输,可广泛应用于日志收集、事件监控、流式计算等场景。Kafka 通过Producer、Broker和Consumer构建消息管道,具备持久化、高可用和容错能力,广泛用于大数据和微服务架构中。
2025年6月10日,启明星辰集团VSRC监测到Apache发布安全公告,披露Apache Kafka Broker存在一个远程代码执行(RCE)漏洞(CVE-2025-27819)。攻击者如具备AlterConfigs权限,可通过修改SASL JAAS配置启用JndiLoginModule,诱使Broker连接至恶意JNDI服务,触发Java反序列化链,最终导致任意代码执行或拒绝服务(DoS)攻击。另外在Apache Kafka Client中存在一个任意文件读取与SSRF漏洞(CVE-2025-27817)。攻击者可通过配置sasl.oauthbearer.token.endpoint.url和sasl.oauthbearer.jwks.endpoint.url参数,读取服务器磁盘文件、环境变量,或向任意目标地址发起请求。在Kafka Connect场景中,攻击者可借助REST API接口实现权限提升,访问文件系统、环境信息,或发起SSRF攻击。
二、影响范围
CVE-2025-27819:2.0.0 ≤ Apache Kafka ≤ 3.3.2
CVE-2025-27817:3.1.0 ≤ Apache Kafka Client ≤ 3.9.0
三、安全措施
3.1 升级版本
CVE-2025-27817:建议将 Apache Kafka Client 升级至 4.0.0 或以上版本,默认启用 URL 白名单机制,显著降低风险。
CVE-2025-27819:建议将 Apache Kafka 升级至 3.9.1 或以上版本,默认禁用高风险登录模块,降低远程代码执行风险。
下载链接:
https://kafka.apache.org/downloads/
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://lists.apache.org/thread/94yzzj01d37l0bn3q4m6y9ohplkvmysn
https://lists.apache.org/thread/6cm2d0q5126lp7w591wt19211s5xxcsm