Mickael Maison

**Nome do software vulnerável e versões afetadas** Clientes Apache Kafka, versões 2.3.0 a 3.7.1 **Descrição** A vulnerabilidade está relacionada a um gerenciamento inadequado de privilégios nos clientes Apache Kafka, permitindo que invasores acessem conteúdos arbitrários do disco e variáveis de ambiente. Isso pode ser explorado em aplicativos onde as configurações podem ser especificadas por uma parte não confiável, potencialmente escalando do acesso à API REST para o acesso ao sistema de arquivos/ambiente. Essa falha pode ser particularmente indesejável em certos ambientes, incluindo produtos SaaS. **Recomendações** Para resolver o problema, recomenda-se que os usuários com aplicativos afetados: - Atualizem o kafka-clients para a versão >=3.8.0 - Definir a propriedade do sistema JVM “org.apache.kafka.automatic.config.providers=none” Para usuários do Kafka Connect com uma das implementações do ConfigProvider listadas especificadas em sua configuração de worker, adicionar “allowlist.pattern” e “allowed.paths” apropriados para restringir sua operação a limites adequados. Para usuários do Kafka Clients ou do Kafka Connect em ambientes que concedem aos usuários acesso a discos e variáveis de ambiente, não é recomendável definir a propriedade do sistema. Para usuários do Kafka Broker, do Kafka MirrorMaker 2.0, do Kafka Streams e das ferramentas de linha de comando do Kafka, não é recomendável definir a propriedade do sistema.