关于Apache Kafka存在多个高危漏洞的预警提示

发布时间：2025-06-13浏览次数：10

一、漏洞详情 Apache Kafka是一款开源的分布式事件流平台，广泛用于高性能数据管道、流式分析和数据集成。 近日，监测到Kafka官方修复多个安全漏洞： Apache Kafka客户端任意文件读取漏洞(CVE-2025-27817)：由于在SASL/OAUTHBEARER和 SASL JAAS配置中未对URL和登录模块进行严格限制，从而造成的客户端的敏感数据和内网信息泄露； Apache Kafka远程代码执行漏洞(CVE-2025-27818、CVE-2025-27819)：因分别允许使用LdapLoginModule和JndiLoginModule，可能触发Java反序列化漏洞，进而导致远程代码执行或拒绝服务攻击。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 CVE-2025-27817：3.1.0 <= Apache Kafka <= 3.9.0 CVE-2025-27818：2.3.0 <= Apache Kafka <= 3.9.0 CVE-2025-27819：2.0.0 <= Apache Kafka <= 3.3.2 三、修复建议 建议用户尽快升级到以下或更高的安全版本： Apache Kafka 3.9.1 Apache Kafka 4.0.0