CVE-2025-27817

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Kafka de 3.1.0 a 3.9.0 O Apache Kafka versão 3.9.1 e posteriores requerem configuração explícita de URLs permitidas

Descrição Uma possível vulnerabilidade de leitura arbitrária de arquivos e SSRF foi identificada no Cliente Apache Kafka. Os Clientes Apache Kafka aceitam dados de configuração para estabelecer a conexão SASL/OAUTHBEARER com os brokers, incluindo sasl.oauthbearer.token.endpoint.url e sasl.oauthbearer.jwks.endpoint.url. O Apache Kafka permite que os clientes leiam um arquivo arbitrário e retornem o conteúdo no log de erros, ou enviem solicitações para um local não pretendido. Em aplicações onde as configurações dos Clientes Apache Kafka podem ser especificadas por uma parte não confiável, os atacantes podem usar as configurações sasl.oauthbearer.token.endpoint.url e sasl.oauthbearer.jwks.endpoint.url para ler conteúdos arbitrários do disco e variáveis de ambiente ou fazer solicitações para um local não pretendido. Esta falha pode ser usada no Apache Kafka Connect para escalonar de acesso à API REST para acesso ao sistema de arquivos/ambiente/URL, o que pode ser indesejável em certos ambientes, incluindo produtos SaaS.

Recomendações Para as versões do Apache Kafka de 3.1.0 a 3.9.0, atualize para a versão 3.9.1 ou posterior e configure as URLs permitidas usando a propriedade do sistema -Dorg.apache.kafka.sasl.oauthbearer.allowed.urls. Para a versão 3.9.1 do Apache Kafka, configure as URLs permitidas usando a propriedade do sistema -Dorg.apache.kafka.sasl.oauthbearer.allowed.urls para restringir o acesso a arquivos e locais sensíveis. Para a versão 4.0.0 e posteriores do Apache Kafka, o valor padrão para URLs permitidas é uma lista vazia, portanto os usuários devem definir explicitamente as URLs permitidas usando a propriedade do sistema -Dorg.apache.kafka.sasl.oauthbearer.allowed.urls.