中危 Apache Kafka 迁移时ACL权限控制不当漏洞(CVE-2024-27309)
CVE编号
CVE-2024-27309利用情况
暂无补丁情况
官方补丁披露时间
2024-04-12漏洞描述
Apache Kafka是一种高吞吐量的分布式发布订阅消息系统。2024年4月12日,官方发布披露 CVE-2024-27309 Apache Kafka 迁移时ACL权限控制不当漏洞。Apache Kafka在从ZooKeeper模式迁移到KRaft模式过程中可能导致ACL缺失,从而导致权限绕过。官方评级 严重,经分析实际利用条件较为苛刻,建议根据实际情况排查修复。 影响范围 Apache Kafka 3.5.0、3.5.1、3.5.2、3.6.0、3.6.1解决建议
升级至最新版本。
参考链接 |
|
|---|---|
| https://lists.apache.org/thread/6536rmzyg076lzzdw2xdktvnz163mjpy | |
| https://www.openwall.com/lists/oss-security/2024/04/12/3 |
- 攻击路径 远程
- 攻击复杂度 困难
- 权限要求 无需权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-863 | 授权机制不正确 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论