Apache Kafka UI 远程代码执行漏洞(CVE-2024-32030)安全风险通告

正文

请到「今天看啥」查看全文

未发现

EXP状态

已公开

技术细节状态

已公开

危害描述： 经过身份验证的攻击者可以通过创建 RMI 侦听器调用返回恶意序列化对象，在Kafka UI上执行远程代码；如果Kafka UI没有启用身份验证，这个漏洞可能会被用来完全控制受影响的系统。

利用条件：
以下两个条件需要满足其一：
1、设置中设置了 dynamic.config.enabled 属性。默认情况下未启用，但在许多 Kafka UI 教程中建议启用它，包括其自己的 README.md。
2、攻击者可以访问连接到 Kafka UI 的 Kafka 集群。在这种情况下，攻击者可以利用此漏洞扩展其访问权限并在 Kafka UI 上执行代码。

0 1

漏洞详情

> > > >

影响组件

Kafka UI 是用于 Apache Kafka Management 的开源 Web UI。Kafka UI API 允许用户通过指定网络地址和端口连接到不同的 Kafka 代理。作为一项单独的功能，它还提供了通过连接到其 JMX 端口来监控 Kafka 代理性能的功能。

>

请到「今天看啥」查看全文