Colin Mccabe

**Nome do software vulnerável e versões afetadas** Apache Kafka (versões afetadas não especificadas) **Descrição** Durante a migração de um cluster do Apache Kafka do modo ZooKeeper para o modo KRaft, as ACLs podem não ser aplicadas corretamente sob certas condições. Duas pré-condições são necessárias para que o problema ocorra: o administrador remove uma ACL e o recurso associado à ACL removida ainda possui duas ou mais outras ACLs após a remoção. Como resultado, o Kafka trata o recurso como se ele tivesse apenas uma ACL, em vez das duas ou mais corretas. O impacto depende das ACLs em uso, podendo afetar a disponibilidade, a confidencialidade e a integridade se ACLs DENY estiverem configuradas. O problema é resolvido assim que a migração é concluída, sem perda de metadados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.