【漏洞通告】Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817)

深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-10 12:04

漏洞名称：

Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817)

组件名称：

Apache-Kafka

影响范围：

3.1.0 ≤ Apache Kafka < 3.9.1

漏洞类型：

任意文件读取

利用条件：

1、用户认证：不需要用户认证

2、
前置条件：默认配置

3、触发方式：远程

综合评价：

<综合评定利用难度>：容易
，无需授权即可读取任意文件
。

<综合评定威胁等级>：高危，
能导致敏感信息泄露
。

官方解决方案：

已发布

漏洞分析

组件介绍

Apache Kafka 是一个开源分布式事件流平台，被数千家公司用于高性能数据管道、流分析、数据集成和任务关键型应用程序。

漏洞简介

2025年6月10日，深瞳漏洞实验室监测到一则Apache-Kafka组件存在任意文件读取漏洞的信息，漏洞编号：CVE-2025-27817，漏洞威胁等级：高危。

Apache Kafka Connect组件存在任意文件读取漏洞，
未授权的攻击者可以利用该漏洞读取任意文件，导致敏感信息泄露。

影响范围

目前受影响的Apache-Kafka版本：

3.1.0 ≤ Apache Kafka < 3.9.1

解决方案

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将Apache Kafka更新到3.9.1及以上版本。

下载链接：

https://github.com/apache/kafka/tags

临时修复建议

在不影响业务的前提下避免将Kafka Connect对外网开放，配置如下：

若使用standalone模式启动Kafka Connect，修改connect-standalone.properties配置文件中的listeners或rest.host.name字段为本地回环地址；

若使用distributed模式启动Kafka Connect，修改connect-distributed.properties配置文件中的listeners或rest.host.name字段为本地回环地址。

深信服解决方案

风险资产发现

支持对Apache-Kafka的主动检测，可批量检出业务场景中该事件的受影响资产
情况，相关产品如下：

【深信服统一端点安全
管理系统
aES】
已发布资产检测方案，指纹ID:0006168。

【深信服云镜YJ】 
已发布资产检测方案，指纹ID:0006168。

【深信服漏洞评估工具TSS】
已发布资产检测方案，指纹ID:0006168。

参考链接

https://lists.apache.org/thread/6cm2d0q5126lp7w591wt19211s5xxcsm

时间轴

2025/6/10

深瞳漏洞实验室监测到
Apache Kafka Connect 任意文件读取漏洞信息
。

2025/6/10

深瞳漏洞实验室发布漏洞通告。

点击阅读原文
，及时关注并登录深信服智安全平台
，可轻松查询漏洞相关解决方案。