【已复现】Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
2025-06-10 21:43 北京
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
Apache Kafka Connect 是 Apache Kafka 生态系统的核心组件之一,用于实现 Kafka 与外部数据系统之间的可靠、可扩展的数据集成。
2025年6月10日,Apache发布安全通告,修复了 Kafka Connect 组件中的任意文件读取漏洞(CVE-2025-27817)。该漏洞允许未授权攻击者通过特定方式读取服务器上的敏感文件。由于该漏洞利用难度较低,且影响范围包括集成 Kafka Connect 组件的其他系统(如 Apache Druid 等),建议相关用户及时升级至安全版本进行修复。
漏洞描述
Description
01
漏洞成因
该漏洞源于Apache Kafka Client在配置SASL/OAUTHBEARER连接时,对sasl.oauthbearer.token.endpoint.url和sasl.oauthbearer.jwks.endpoint.url参数的安全控制存在缺陷。攻击者可通过构造恶意URL参数,利用该缺陷实现任意文件读取或发起SSRF请求(访问非预期目标地址)。
漏洞影响
任意文件读取:攻击者可读取服务器上的敏感文件(如配置文件、密钥文件等),可能导致凭据泄露或其他安全风险。
处置优先级:高
漏洞类型:文件读取
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 未公开
修复复杂度:低,官方提供升级修复方案
影响版本
Affects
02
3.1.0 <= Apache Kafka <= 3.9.0
解决方案
Solution
03
临时缓解方案
避免将Kafka Connect实例直接暴露在公网,可通过以下方式配置:
Standalone模式:修改connect-standalone.properties中的listeners或rest.host.name字段
Distributed模式:修改connect-distributed.properties中的listeners或rest.host.name字段
使用流量防护设备(如WAF、防火墙)拦截/connectors接口请求中携带敏感文件路径的恶意流量
避免将Kafka Connect实例直接暴露在公网,可通过以下方式配置:
Standalone模式:修改connect-standalone.properties中的listeners或rest.host.name字段
Distributed模式:修改connect-distributed.properties中的listeners或rest.host.name字段
使用流量防护设备(如WAF、防火墙)拦截/connectors接口请求中携带敏感文件路径的恶意流量
升级修复方案
Kafka官方已发布安全修复版本,请尽快升级至 3.9.1及以上版本:
漏洞复现
Reproduction
04
产品支持
Support
05
云图:默认支持该产品的指纹识别,同时支持该漏洞的原理PoC检测
洞鉴:预计6.11发布更新支持该漏洞检测
雷池:预计6.11发布更新支持该漏洞利用行为的检测
全悉:默认支持漏洞利用行为检测
时间线
Timeline
06
6月10日 长亭安全应急响应中心发布通告
长亭应急响应服务
目录
最新
- 【已复现】Gogs 远程命令执行漏洞
- 【已复现】泛微 E-cology SQL注入漏洞
- 【已复现】GeoServer SSRF和XXE漏洞
- 【已复现】契约锁电子签章系统远程代码执行漏洞
- 【已复现】Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
- 【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
- 【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374)
- 【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374)