Lars Thingstad

**Nome do software vulnerável e versões afetadas** provectus kafka-ui, versões 0.4.0 a 0.7.1 **Descrição** A vulnerabilidade está relacionada ao gerenciamento incorreto da geração de código na interface web para gerenciamento de clusters do Apache Kafka, o kafka-ui. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário enviando uma solicitação especialmente criada para o endpoint “/api/clusters/local/topics/{topic}/messages”, especificamente por meio do parâmetro `q`. **Recomendações** Para as versões 0.4.0 a 0.7.1 do provectus kafka-ui, considere desativar o acesso ao endpoint “/api/clusters/local/topics/{topic}/messages” até que um patch esteja disponível. Restrinja o uso do parâmetro `q` neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.