CVE-2026-41115

Nome do Software Vulnerável e Versões Afetadas Apache Kafka (versões afetadas não especificadas)

Descrição Um problema de autorização inadequada existe na API 'CONSUMER GROUP DESCRIBE' (69). A implementação valida a operação DESCRIBE no recurso GROUP, o que contradiz a operação READ especificada na documentação oficial e no KIP-848. Essa discrepância pode levar a Listas de Controle de Acesso (ACLs) mal configuradas, potencialmente concedendo permissões de READ a usuários não autorizados ou permitindo que usuários apenas com permissões de DESCRIBE acessem metadados sensíveis do grupo.

Recomendações Revisar as ACLs de grupo existentes para garantir que o princípio do privilégio mínimo seja mantido.