【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818)

启明星辰安全简讯 2025-06-10 10:17

一、漏洞概述

漏洞名称	Apache Kafka Connect LDAP远程代码执行漏洞
CVE ID	CVE-2025-27818
漏洞类型	RCE	发现时间	2025-06-10
漏洞评分	暂无	漏洞等级	高危
攻击向量	网络	所需权限	低
利用难度	低	用户交互	不需要
PoC/EXP	未公开	在野利用	未发现

Apache Kafka是一个开源的分布式流处理平台，主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输，可广泛应用于日志收集、事件监控、流式计算等场景。Kafka 通过Producer、Broker和Consumer构建消息管道，具备持久化、高可用和容错能力，广泛用于大数据和微服务架构中。

2025年6月10日，启明星辰集团VSRC监测到Apache发布的安全公告，披露Apache Kafka存在一个远程代码执行（RCE）漏洞（CVE-2025-27818）。攻击者可通过Kafka Connect配置中的sasl.jaas.config参数，将Kafka客户端指向恶意LDAP服务器，诱导服务器反序列化不可信数据，从而实现任意代码执行。该漏洞影响使用SASL JAAS配置的Kafka Connect集群，特别是在未对登录模块进行限制配置的环境中。自Kafka 3.9.1/4.0.0起，官方已默认禁用相关高风险登录模块，并提供系统属性用于细化控制。建议用户及时升级受影响版本，强化配置审计，降低风险。

二、影响范围

2.3.0 ≤ Apache Kafka ≤ 3.9.0

三、安全措施

3.1 升级版本

Apache Kafka 3.9.1 / 4.0.0 及以上版本（默认禁用高风险 LoginModule，提供登录模块白名单机制）。

下载链接：

https://kafka.apache.org/downloads/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://lists.apache.org/thread/hv3917z1o07lhbdy3x36y4cnhyd1nfyp