原创 烽火台实验室 Beacon Tower Lab 

一、漏洞概述

近日，Apache Kafka发布了漏洞修公告，解决了多个高严重性漏洞，其中一个潜在的任意文件读取和SSRF（服务端请求伪造）漏洞（CVE-2025-27817），若Apache Kafka客户端配置可由不可信方指定，攻击者可能利用上述两个配置项实现任意文件/环境变量读取。建议您及时开展安全风险自查。

Apache Kafka 是一个‌分布式流处理平台‌，最初由 LinkedIn 开发并于 2011 年开源成为 Apache 项目。它设计用于‌高吞吐量、低延迟、可水平扩展‌的场景，核心目标是构建实时数据管道和流处理应用。

Apache Kafka Connect 是 Kafka 生态系统中用于‌简化数据流集成‌的核心组件，支持在 Kafka 与其他系统（如数据库、消息队列、云存储等）之间‌可靠且可扩展地传输数据‌，其设计特性包括分布式架构、容错机制和灵活的扩展能力。

据描述，Apache Kafka客户端接收用于配置与broker的SASL/OAUTHBEARER连接的参数，其中包括sasl.oauthbearer.token.endpoint.url和sasl.oauthbearer.jwks.endpoint.url。该漏洞允许客户端读取任意文件并将内容输出至错误日志，或向非预期目标发送请求。攻击者可能利用上述两个配置项实现任意文件读取

漏洞影响的产品和版本：

Apache Kafka

3.1.0 - 3.9.0版本  

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在3282个资产，国内风险资产分布情况如下。

四、解决方案

临时缓解方案

部署针对项目的web应用防火墙：阻止包含 “connectors” 的外部用户请求到达您的应用程序。

• 通过防火墙或网络 ACL 严格控制 Kafka Connect REST API 端口的访问来源，仅允许受信任的管理终端访问（默认端口 8083）

• 禁用匿名访问权限，强制启用身份认证。

• 在 Kafka Connect 配置文件中显式禁用 SASL_OAUTHBEARER 认证机制

升级修复

目前官方已发布修复安全补丁3.9.1

90fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8j5h3k6C8j5g2)9J5k6h3q4H3j5h3y4Z5k6g2)9J5k6h3!0J5k6#2)9J5c8X3c8G2N6$3&6D9L8$3q4V1M7#2)9J5y4X3&6T1M7%4m8Q4x3@1t1`.

五、参考链接

061K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8j5h3k6C8j5g2)9J5k6h3q4H3j5h3y4Z5k6g2)9J5k6h3!0J5k6#2)9J5c8X3y4$3k6g2)9J5k6r3I4A6M7H3`.`.
28cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2V1k6s2m8G2j5#2)9J5k6h3y4G2L8g2)9J5c8V1c8h3b7W2)9J5k6o6t1H3x3U0g2Q4x3X3b7&6x3K6f1^5i4K6u0W2K9s2c8E0L8l9`.`.

原文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课