首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819)

发布时间 2025-06-10

一、漏洞概述


漏洞名称

Apache Kafka Broker JNDI远程代码执行漏洞

CVE   ID

CVE-2025-27819

漏洞类型

RCE

发现时间

2025-06-10

漏洞评分

暂无

漏洞等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

未公开

在野利用

未发现


Apache Kafka是一个开源的分布式流处理平台,主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输,可广泛应用于日志收集、事件监控、流式计算等场景。Kafka 通过Producer、Broker和Consumer构建消息管道,具备持久化、高可用和容错能力,广泛用于大数据和微服务架构中。


2025年6月10日,启明星辰集团VSRC监测到Apache发布安全公告,披露Apache Kafka Broker存在一个远程代码执行(RCE)漏洞(CVE-2025-27819)。攻击者如具备AlterConfigs权限,可通过修改SASL JAAS配置启用JndiLoginModule,诱使Broker连接至恶意JNDI服务,触发Java反序列化链,最终导致任意代码执行或拒绝服务(DoS)攻击。另外在Apache Kafka Client中存在一个任意文件读取与SSRF漏洞(CVE-2025-27817)。攻击者可通过配置sasl.oauthbearer.token.endpoint.url和sasl.oauthbearer.jwks.endpoint.url参数,读取服务器磁盘文件、环境变量,或向任意目标地址发起请求。在Kafka Connect场景中,攻击者可借助REST API接口实现权限提升,访问文件系统、环境信息,或发起SSRF攻击。


二、影响范围


CVE-2025-27819:2.0.0 ≤ Apache Kafka ≤ 3.3.2
CVE-2025-27817:3.1.0 ≤ Apache Kafka Client ≤ 3.9.0


三、安全措施


3.1 升级版本


CVE-2025-27817:建议将 Apache Kafka Client 升级至 4.0.0 或以上版本,默认启用 URL 白名单机制,显著降低风险。


CVE-2025-27819:建议将 Apache Kafka 升级至 3.9.1 或以上版本,默认禁用高风险登录模块,降低远程代码执行风险。


下载链接:https://kafka.apache.org/downloads/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://lists.apache.org/thread/94yzzj01d37l0bn3q4m6y9ohplkvmysn
https://lists.apache.org/thread/6cm2d0q5126lp7w591wt19211s5xxcsm
上一篇 下一篇