Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817)预警
1、基本情况
Apache Kafka Connect 是 Apache Kafka 生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接 Kafka 与其他系统。
近日,监测发现 Kafka 官方发布安全公告,修复了 Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817),该漏洞是由于在SASL/OAUTHBEARER 和 SASL JAAS 配置中未对 URL 和登录模块进行严格限制,攻击者可在未授权的情况下,通过该漏洞读取系统敏感文件。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ 3.1.0 <= Apache Kafka Connect <= 3.9.0
3、处置建议
目前这些漏洞已经修复,受影响用户可安装最新版本补丁。
下载地址:https://github.com/apache/kafka/releases/tag/3.9.1
4、参考链接
1) https://lists.apache.org/thread/6cm2d0q5126lp7w591wt19211s5xxcsm