CVE-2026-41115 in Kafkainfo

Zusammenfassung

von VulDB • 02.06.2026

In Apache Kafka wurde eine Schwachstelle aufgrund unzureichender Autorisierung identifiziert.

Die Implementierung der CONSUMER_GROUP_DESCRIBE (69)-API validiert die DESCRIBE-Operation für die GROUP-Ressource anstelle der READ-Operation, wie in der offiziellen Kafka-Dokumentation sowie im KIP-848 dokumentiert. Diese Diskrepanz kann zu falsch konfigurierten Access Control Lists (ACLs) und unbeabsichtigten Sicherheitskonfigurationen führen, beispielsweise indem READ-Berechtigungen für Benutzer erteilt werden, die keine Gruppen beitreten oder synchronisieren sollten, oder indem Benutzern ohne READ-Berechtigung (aber mit DESCRIBE-Berechtigung) der Zugriff auf sensible Gruppenmetadaten ermöglicht wird.

Die korrekte Berechtigung für die CONSUMER_GROUP_DESCRIBE-API ist DESCRIBE GROUP, sodass die aktuelle Implementierung korrekt ist. Die Kafka-Dokumentation sowie das KIP-848 werden jedoch aktualisiert, um die korrekte Berechtigung widerzuspiegeln. Wir empfehlen Kafka-Nutzern, die vorhandenen Gruppen-ACLs zu überprüfen, um das Prinzip der geringsten Rechte (Least Privilege) sicherzustellen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Apache

Reservieren

17.04.2026

Veröffentlichung

02.06.2026

Moderieren

akzeptiert

Eintrag

VDB-367904

CPE

bereit

EPSS

0.00089

KEV

nein

Aktivitäten

low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41115
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41115
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41115/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!