【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)
原文中文,约2500字,阅读约需6分钟。发表于: 。墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。
Spring Kafka存在反序列化漏洞,攻击者可通过恶意payload注入Kafka主题,远程执行任意代码。解决方法为更新升级Spring Kafka到2.9.11、3.0.10或更高版本,或配置ErrorHandlingDeserializer。Spring Security Advisories也存在类似漏洞,需升级到2.9.11或3.0.10及更高版本。