根据GitHub 博客报道,研究人员在 Kafka UI 中发现了三个关键的远程代码执行 (RCE) 漏洞。Kafka UI 是一款开源的用于管理和监控 Apache Kafka 集群的网页应用程序。这些漏洞已在最新发布的 0.7.2 版本中得到修复,强烈建议用户更新系统以降低潜在的利用风险。
CVE-2023-52251:通过 Groovy 脚本执行的 RCE
第一个漏洞标识为 CVE-2023-52251,利用了 Kafka UI 中的消息过滤功能。攻击者可以使用 GROOVY_SCRIPT
过滤类型执行任意的 Groovy 脚本,从而导致潜在的远程代码执行。该漏洞可以通过简单的 HTTP GET 请求发起,使其高度可访问。该漏洞于 2023 年 11 月报告,并于 2024 年 4 月修补。
CVE-2024-32030:通过 JMX 连接器的 RCE
第二个漏洞 CVE-2024-32030 涉及 Kafka UI 使用的 Java Management Extensions (JMX) 连接器,用于监控 Kafka 代理。如果 dynamic.config.enabled
设置被激活,攻击者可以配置 Kafka UI 连接到恶意的 JMX 服务器,从而引发反序列化攻击。该漏洞也在 0.7.2 版本中修复。
CVE-2023-25194:通过 JndiLoginModule 的 RCE
第三个漏洞 CVE-2023-25194 利用了用于认证的 JndiLoginModule。攻击者可以操纵集群属性以触发远程代码执行。这个问题只有在 dynamic.config.enabled
属性设置为 true
时才可被利用。修复已包含在 0.7.2 版本中,禁止使用 JndiLoginModule。
建议 Kafka UI 用户升级到版本 0.7.2 以保护系统免受这些关键漏洞的影响。修复内容包括更新依赖项和增加更严格的控制以防止潜在的利用。
Image source: Shutterstock