PT-2024-1822 · Provectus · Kafka-Ui
Bobtheshoplifter
+2
·
Publicado
2024-01-25
·
Atualizado
2024-07-24
·
CVE-2023-52251
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
provectus kafka-ui, versões 0.4.0 a 0.7.1
Descrição
A vulnerabilidade está relacionada ao gerenciamento incorreto da geração de código na interface web para gerenciamento de clusters do Apache Kafka, o kafka-ui. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário enviando uma solicitação especialmente criada para o endpoint “/api/clusters/local/topics/{topic}/messages”, especificamente por meio do parâmetro
q.Recomendações
Para as versões 0.4.0 a 0.7.1 do provectus kafka-ui, considere desativar o acesso ao endpoint “/api/clusters/local/topics/{topic}/messages” até que um patch esteja disponível. Restrinja o uso do parâmetro
q neste endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kafka-Ui