Apache · Apache Kafka · CVE-2026-41115
**Nome do Software Vulnerável e Versões Afetadas**
Apache Kafka (versões afetadas não especificadas)
**Descrição**
Um problema de autorização inadequada existe na API 'CONSUMER GROUP DESCRIBE' (69). A implementação valida a operação DESCRIBE no recurso GROUP, o que contradiz a operação READ especificada na documentação oficial e no KIP-848. Essa discrepância pode levar a Listas de Controle de Acesso (ACLs) mal configuradas, potencialmente concedendo permissões de READ a usuários não autorizados ou permitindo que usuários apenas com permissões de DESCRIBE acessem metadados sensíveis do grupo.
**Recomendações**
Revisar as ACLs de grupo existentes para garantir que o princípio do privilégio mínimo seja mantido.