漏洞概述 | |||
漏洞名称 | Apache Kafka 多个高危漏洞 | ||
漏洞编号 | CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 | ||
公开时间 | 2025-06-09 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 7.5、8.8、8.8 |
威胁类型 | 信息泄露,代码执行 | 利用可能性 | 高 |
POC状态 | 未公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述: CVE-2025-27817:攻击者可以利用该漏洞,读取服务器上的敏感文件(如配置文件、环境变量等),或者发起 SSRF 攻击,访问内部网络或其他受限资源,从而获取敏感信息或进一步扩大攻击范围。CVE-2025-27818:攻击者可以利用该漏洞通过精心构造的 LDAP 响应,触发 Java 反序列化漏洞,从而在 Kafka Connect 服务器上执行任意代码,获取服务器的控制权或进一步攻击其他系统。 CVE-2025-27819:攻击者可以利用该漏洞,通过精心构造的 JNDI 配置,连接到攻击者控制的 LDAP 或 RMI 服务器,并反序列化恶意响应,从而在 Kafka 服务器上执行任意代码或导致服务不可用。 | |||
01 漏洞详情
影响组件
Apache Kafka 是一款开源的分布式事件流平台,广泛用于高性能数据管道、流式分析和数据集成。它支持高吞吐量的消息传递,具备可扩展性、持久化存储和高可用性等特点,能够处理海量数据并支持多种编程语言的客户端库。
漏洞描述
近日,奇安信CERT监测到Kafka官方修复多个安全漏洞:Apache Kafka客户端任意文件读取漏洞(CVE-2025-27817)是由于在 SASL/OAUTHBEARER 和 SASL JAAS 配置中未对 URL 和登录模块进行严格限制,从而造成的客户端的敏感数据和内网信息泄露;Apache Kafka远程代码执行漏洞(CVE-2025-27818、CVE-2025-27819)则分别因允许使用 LdapLoginModule 和 JndiLoginModule ,可能触发 Java 反序列化漏洞,进而导致远程代码执行或拒绝服务攻击。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
CVE-2025-27817:
3.1.0 <= Apache Kafka <= 3.9.0
CVE-2025-27818:
2.3.0 <= Apache Kafka <= 3.9.0
CVE-2025-27819:
2.0.0 <= Apache Kafka <= 3.3.2
其他受影响组件
无
03 处置建议
安全更新
建议用户尽快升级到以下或更高的安全版本:
Apache Kafka 3.9.1
Apache Kafka 4.0.0
官方补丁下载链接:
https://kafka.apache.org/downloads
修复缓解措施:
对于使用受影响版本的用户,建议通过系统属性
-Dorg.apache.kafka.disallowed.login.modules禁用LdapLoginModule,JndiLoginModule 和其他危险的登录模块。
04 参考资料
[1]https://www.openwall.com/lists/oss-security/2025/06/09/
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
