CVE-2026-35554

Name of the Vulnerable Software and Affected Versions Apache Kafka versões 3.9.1 e anteriores, 4.0.1 e anteriores, e 4.1.1 e anteriores

Description Uma condição de corrida no gerenciamento do pool de buffers do cliente Java produtor do Apache Kafka pode fazer com que as mensagens sejam entregues silenciosamente a tópicos incorretos. Quando um lote de produção expira devido a delivery.timeout.ms enquanto uma solicitação de rede contendo esse lote ainda está em andamento, o ByteBuffer do lote é desalocado prematuramente e retornado ao pool de buffers. Se um lote de produtor subsequente – potencialmente destinado a um tópico diferente – reutilizar esse buffer liberado antes que a solicitação de rede original seja concluída, o conteúdo do buffer pode ser corrompido, resultando no envio de mensagens a tópicos não intencionais sem que nenhum erro seja relatado ao produtor. Isso pode levar a problemas de confidencialidade e integridade dos dados, onde mensagens destinadas a um tópico podem ser entregues a um tópico diferente, expondo potencialmente dados confidenciais, e os consumidores podem encontrar mensagens inesperadas ou incompatíveis.

Recommendations Atualize para a versão 3.9.2 ou posterior. Atualize para a versão 4.0.2 ou posterior. Atualize para a versão 4.1.2 ou posterior. Atualize para a versão 4.2.0 ou posterior.