CVE-2025-27818

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Kafka de 2.0.0 a 3.9.0 Versões do Apache Kafka de 3.0.0 a 3.9.0, onde os usuários têm permissão para especificar propriedades nas configurações de conectores para clusters do Kafka Connect executando com configurações padrão Versões do Apache Kafka 3.9.1 e 4.0.0, onde uma propriedade do sistema ("-Dorg.apache.kafka.disallowed.login.modules") foi adicionada para desativar o uso de módulos de login problemáticos na configuração SASL JAAS

Descrição Uma possível vulnerabilidade de segurança foi identificada no Apache Kafka, exigindo acesso para alterConfig no recurso do cluster ou no worker do Kafka Connect, e a capacidade de criar ou modificar conectores com uma configuração SASL JAAS arbitrária do cliente Kafka e um protocolo de segurança baseado em SASL. Esta vulnerabilidade permite que um atacante execute cadeias de gadgets de desserialização Java no servidor do Kafka Connect, potencialmente causando desserialização irrestrita de dados não confiáveis ou uma vulnerabilidade de RCE (Execução Remota de Código) quando houver gadgets no classpath. A propriedade sasl.jaas.config pode ser definida como "com.sun.security.auth.module.LdapLoginModule" por meio das propriedades producer.override.sasl.jaas.config, consumer.override.sasl.jaas.config ou admin.override.sasl.jaas.config, permitindo que o servidor se conecte ao servidor LDAP do atacante e desserialize a resposta LDAP.

Recomendações Para as versões do Apache Kafka de 2.0.0 a 3.9.0, valide as configurações dos conectores e permita apenas configurações LDAP confiáveis. Examine as dependências dos conectores em busca de versões vulneráveis e atualize os conectores, atualize a dependência específica ou remova os conectores como opções de remediação. Para as versões do Apache Kafka de 3.0.0 a 3.9.0, implemente uma política de substituição de configuração do cliente do conector para controlar quais propriedades do cliente Kafka podem ser substituídas diretamente em uma configuração de conector e quais não podem. Para as versões do Apache Kafka 3.9.1 e 4.0.0, utilize a propriedade do sistema "org.apache.kafka.disallowed.login.modules" para desativar o uso de módulos de login problemáticos na configuração SASL JAAS. Além disso, implemente uma política de substituição de configuração do cliente do conector para controlar quais propriedades do cliente Kafka podem ser substituídas diretamente em uma configuração de conector e quais não podem.