漏洞分析 | Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
💡
原文中文,约5700字,阅读约需14分钟。
📝
内容提要
Apache Kafka Connect 存在高危漏洞,攻击者可未授权读取任意文件,导致信息泄露。受影响版本为 3.1.0 至 3.9.0,建议用户尽快升级至最新版本以防护。
🎯
关键要点
- Apache Kafka Connect 存在高危漏洞,攻击者可未授权读取任意文件,导致信息泄露。
- 受影响版本为 3.1.0 至 3.9.0,建议用户尽快升级至最新版本以防护。
- 漏洞源于 Kafka Client 在 SASL/OAUTHBEARER 认证配置中对特定参数的校验缺陷。
- 攻击者可以通过 file 协议读取敏感文件,利用代码逻辑进行攻击。
- 官方已发布更新版本,建议受影响用户尽快升级。
- 网宿全站防护-WAF模块已支持对该漏洞利用攻击的防护。
➡️
