CVE-2026-10143

Nome do Software Vulnerável e Versões Afetadas kafka-python versões anteriores a 2.3.2

Description Um problema de negação de serviço existe no processamento de autenticação SCRAM. Um broker malicioso ou um agente de machine-in-the-middle pode congelar o loop de eventos do cliente ao fornecer uma contagem de iterações excessivamente alta. No arquivo scram.py, a função ScramClient.process server first message() passa a contagem de iterações SCRAM controlada pelo broker diretamente para hashlib.pbkdf2 hmac() sem validação. Isso bloqueia envios do produtor, polls do consumidor, operações administrativas e heartbeats, podendo levar à expulsão do grupo de consumidores e falhas repetidas de reconexão.

Recommendations Atualize para a versão 2.3.2 ou posterior.