Apache Kafka 多个高危漏洞安全风险通告

奇安信 CERT 2025-06-10 06:20

● 
点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	Apache Kafka 多个高危漏洞
漏洞编号	CVE-2025-27817、CVE-2025-27818、CVE-2025-27819
公开时间	2025-06-09	影响量级	十万级
奇安信评级	高危	CVSS 3.1分数	7.5、8.8、8.8
威胁类型	信息泄露，代码执行	利用可能性	高
POC状态	未公开	在野利用状态	未发现
EXP状态	未公开	技术细节状态	未公开
危害描述： CVE-2025-27817：攻击者可以利用该漏洞，读取服务器上的敏感文件（如配置文件、环境变量等），或者发起 SSRF 攻击，访问内部网络或其他受限资源，从而获取敏感信息或进一步扩大攻击范围。 CVE-2025-27818：攻击者可以利用该漏洞通过精心构造的 LDAP 响应，触发 Java 反序列化漏洞，从而在 Kafka Connect 服务器上执行任意代码，获取服务器的控制权或进一步攻击其他系统。 CVE-2025-27819：攻击者可以利用该漏洞，通过精心构造的 JNDI 配置，连接到攻击者控制的 LDAP 或 RMI 服务器，并反序列化恶意响应，从而在 Kafka 服务器上执行任意代码或导致服务不可用。

01

漏洞详情

>
>
>
>

影响组件

Apache Kafka 是一款开源的分布式事件流平台，广泛用于高性能数据管道、流式分析和数据集成。它支持高吞吐量的消息传递，具备可扩展性、持久化存储和高可用性等特点，能够处理海量数据并支持多种编程语言的客户端库。

>
>
>
>

漏洞描述

近日，奇安信CERT监测到Kafka官方修复多个安全漏洞：
Apache Kafka客户端任意文件读取漏洞(CVE-2025-27817)是由于在 SASL/OAUTHBEARER 和 SASL JAAS 配置中未对 URL 和登录模块进行严格限制，从而造成的客户端的敏感数据和内网信息泄露；
Apache Kafka远程代码执行漏洞(CVE-2025-27818、CVE-2025-27819)则分别因允许使用 LdapLoginModule 和 JndiLoginModule ，可能触发 Java 反序列化漏洞，进而导致远程代码执行或拒绝服务攻击。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

>
>
>
>

影响版本

CVE-2025-27817：
3.1.0 <= Apache Kafka <= 3.9.0

CVE-2025-27818：

2.3.0 <= Apache Kafka <= 3.9.0

CVE-2025-27819：

2.0.0 <= Apache Kafka <= 3.3.2

>
>
>
>

其他受影响组件

无

03

处置建议

>
>
>
>

安全更新

建议用户尽快升级到以下或更高的安全版本： 

Apache Kafka 3.9.1 

Apache Kafka 4.0.0 

官方补丁下载链接：

https://kafka.apache.org/downloads

修复缓解措施：

对于使用受影响版本的用户，建议通过系统属性

-Dorg.apache.kafka.disallowed.login.modules禁用LdapLoginModule，JndiLoginModule 和其他危险的登录模块。

04

参考资料

[1]https://www.openwall.com/lists/oss-security/2025/06/09/

05

时间线

2025年6月10日，奇安信 CERT发布安全风险通告。

06

漏洞情报服务

奇安信ALPH
A
威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于
第一时间为企业级用户提供权威
漏洞情报和有效
解决方案。

点击↓阅读原文
，到ALPHA威胁分析平台
订阅更多漏洞信息。