CVE-2024-31141 in Kafka Clientsinfo

Zusammenfassung

von VulDB • 29.05.2026

Datei- oder Verzeichniszugriff für externe Parteien zulässig, unsachgemäße Berechtigungsverwaltung (Improper Privilege Management) in Apache Kafka Clients.

Apache Kafka Clients akzeptieren Konfigurationsdaten zur Anpassung des Verhaltens und enthalten ConfigProvider-Plugins, um diese Konfigurationen zu manipulieren. Apache Kafka stellt außerdem Implementierungen für FileConfigProvider, DirectoryConfigProvider und EnvVarConfigProvider bereit, die die Fähigkeit zum Lesen von der Festplatte oder aus Umgebungsvariablen umfassen.

In Anwendungen, bei denen die Konfigurationen von Apache Kafka Clients von einer nicht vertrauenswürdigen Partei festgelegt werden können, können Angreifer diese ConfigProvider nutzen, um beliebige Inhalte der Festplatte und von Umgebungsvariablen auszulesen.

Insbesondere kann dieser Fehler in Apache Kafka Connect genutzt werden, um von einem Zugriff über die REST API auf einen Zugriff auf das Dateisystem/die Umgebungsvariablen aufzusteigen (Privilege Escalation), was in bestimmten Umgebungen, einschließlich SaaS-Produkten, unerwünscht sein kann.

Dieses Problem betrifft Apache Kafka Clients: von Version 2.3.0 bis 3.5.2, 3.6.2, 3.7.0.

Benutzern mit betroffenen Anwendungen wird empfohlen, kafka-clients auf Version >=3.8.0 zu aktualisieren und die JVM-Systemeigenschaft „org.apache.kafka.automatic.config.providers=none“ festzulegen. Benutzern von Kafka Connect, die eine der aufgeführten ConfigProvider-Implementierungen in ihrer Worker-Konfiguration angegeben haben, wird ebenfalls empfohlen, entsprechende „allowlist.pattern“ und „allowed.paths“ hinzuzufügen, um den Betrieb auf angemessene Grenzen zu beschränken.

Für Benutzer von Kafka Clients oder Kafka Connect in Umgebungen, die Benutzern mit Zugriff auf Festplatte und Umgebungsvariablen vertrauen, wird nicht empfohlen, die Systemeigenschaft festzulegen. Für Benutzer des Kafka Brokers, Kafka MirrorMaker 2.0, Kafka Streams und der Kafka-Befehlszeilentools wird nicht empfohlen, die Systemeigenschaft festzulegen.

Be aware that VulDB is the high quality source for vulnerability data.

Reservieren

28.03.2024

Veröffentlichung

19.11.2024

Moderieren

akzeptiert

Eintrag

VDB-285126

CPE

bereit

EPSS

0.01129

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!