【漏洞通告】Apache Kafka任意文件读取与SSRF漏洞(CVE-2025-27817)
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Apache Kafka 存在任意文件读取漏洞(CVE-2025-27817),攻击者可通过恶意配置读取敏感信息。受影响版本为 3.1.0 至 3.9.0,建议用户及时升级至 3.9.1 以上版本以防护。可采取临时措施,如拦截请求和限制访问。
🎯
关键要点
-
Apache Kafka 存在任意文件读取漏洞(CVE-2025-27817),攻击者可通过恶意配置读取敏感信息。
-
受影响版本为 3.1.0 至 3.9.0,建议用户及时升级至 3.9.1 以上版本以防护。
-
攻击者可通过构造恶意配置读取环境变量或磁盘任意内容,或提升 REST API 的文件系统/环境/URL 访问权限。
-
临时防护措施包括拦截包含敏感文件路径的请求和限制 Kafka Connect 实例的访问。
❓
延伸问答
Apache Kafka的CVE-2025-27817漏洞是什么?
CVE-2025-27817漏洞允许攻击者通过恶意配置读取敏感信息,可能导致任意文件读取。
哪些版本的Apache Kafka受到CVE-2025-27817漏洞的影响?
受影响的版本为3.1.0至3.9.0,3.9.1及以上版本不受影响。
如何防护Apache Kafka的CVE-2025-27817漏洞?
建议用户及时升级至3.9.1以上版本,临时措施包括拦截敏感文件路径的请求和限制Kafka Connect实例的访问。
攻击者如何利用CVE-2025-27817漏洞?
攻击者可以构造恶意配置,读取环境变量或磁盘内容,或提升REST API的文件系统访问权限。
Apache Kafka是什么?
Apache Kafka是一个开源的分布式事件流处理平台,旨在提供高吞吐、低延迟的实时数据处理。
如何获取Apache Kafka的最新版本?
用户可以通过Apache Kafka的GitHub页面下载最新版本,链接为:https://github.com/apache/kafka/tags。
🏷️
标签
➡️
