PT-2024-8692 · Apache+1 · Apache Kafka Clients+1
Chris Egerton
+2
·
Publicado
2024-03-28
·
Atualizado
2025-07-15
·
CVE-2024-31141
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Clientes Apache Kafka, versões 2.3.0 a 3.7.1
Descrição
A vulnerabilidade está relacionada a um gerenciamento inadequado de privilégios nos clientes Apache Kafka, permitindo que invasores acessem conteúdos arbitrários do disco e variáveis de ambiente. Isso pode ser explorado em aplicativos onde as configurações podem ser especificadas por uma parte não confiável, potencialmente escalando do acesso à API REST para o acesso ao sistema de arquivos/ambiente. Essa falha pode ser particularmente indesejável em certos ambientes, incluindo produtos SaaS.
Recomendações
Para resolver o problema, recomenda-se que os usuários com aplicativos afetados:
-
Atualizem o kafka-clients para a versão >=3.8.0
-
Definir a propriedade do sistema JVM “org.apache.kafka.automatic.config.providers=none”
Para usuários do Kafka Connect com uma das implementações do ConfigProvider listadas especificadas em sua configuração de worker, adicionar “allowlist.pattern” e “allowed.paths” apropriados para restringir sua operação a limites adequados.
Para usuários do Kafka Clients ou do Kafka Connect em ambientes que concedem aos usuários acesso a discos e variáveis de ambiente, não é recomendável definir a propriedade do sistema.
Para usuários do Kafka Broker, do Kafka MirrorMaker 2.0, do Kafka Streams e das ferramentas de linha de comando do Kafka, não é recomendável definir a propriedade do sistema.
Correção
Improper Privilege Management
Files Accessible to External Parties
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Kafka Clients
Red Os