PT-2024-21811 · Apache+1 · Apache Kafka+1
Colin Mccabe
·
Publicado
2024-04-12
·
Atualizado
2025-06-10
·
CVE-2024-27309
CVSS v4.0
7.6
Alta
| Vetor | AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Apache Kafka (versões afetadas não especificadas)
Descrição
Durante a migração de um cluster do Apache Kafka do modo ZooKeeper para o modo KRaft, as ACLs podem não ser aplicadas corretamente sob certas condições. Duas pré-condições são necessárias para que o problema ocorra: o administrador remove uma ACL e o recurso associado à ACL removida ainda possui duas ou mais outras ACLs após a remoção. Como resultado, o Kafka trata o recurso como se ele tivesse apenas uma ACL, em vez das duas ou mais corretas. O impacto depende das ACLs em uso, podendo afetar a disponibilidade, a confidencialidade e a integridade se ACLs DENY estiverem configuradas. O problema é resolvido assim que a migração é concluída, sem perda de metadados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Kafka
Red Os