Plateforme
other
Composant
bigquery-connector-for-apache-kafka
Corrigé dans
2.11.1
La vulnérabilité CVE-2026-23529 concerne un accès arbitraire de fichiers dans le connecteur Google BigQuery Sink pour Apache Kafka. Ce connecteur permet de transférer des données depuis Kafka vers Google BigQuery. L'absence de validation adéquate des configurations d'authentification permet à un attaquant de lire des fichiers arbitraires sur le système. Cette vulnérabilité affecte les versions du connecteur antérieures à 2.11.0 et a été publiée le 16 janvier 2026. La mise à jour vers la version 2.11.0 corrige ce problème.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers sensibles présents sur le serveur exécutant le connecteur BigQuery Sink. Cela inclut des fichiers de configuration, des clés API, ou d'autres données confidentielles. L'impact peut s'étendre à la compromission de l'ensemble de l'infrastructure Kafka Connect, permettant un accès non autorisé à des données sensibles stockées dans BigQuery. Bien qu'il n'y ait pas de rapport direct d'exploitation publique, la nature de l'accès arbitraire de fichiers rend cette vulnérabilité particulièrement préoccupante, car elle peut être facilement exploitée avec des outils standard.
La vulnérabilité CVE-2026-23529 a été publiée le 16 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la présence d'un accès arbitraire de fichiers rend l'exploitation potentiellement facile. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction. Des preuves de concept publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.
• linux / server:
find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'• generic web:
curl -I <connector_endpoint> | grep -i 'credential.json'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le connecteur Google BigQuery Sink vers la version 2.11.0 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à renforcer les contrôles d'accès sur les fichiers sensibles du serveur. Il est également recommandé de mettre en œuvre une surveillance accrue des accès aux fichiers et de configurer des alertes pour détecter toute activité suspecte. Vérifiez après la mise à jour que le connecteur fonctionne correctement et que les fichiers sensibles sont toujours protégés.
Mettez à jour le connecteur Kafka BigQuery à la version 2.11.0 ou supérieure. Cette version corrige la vulnérabilité de lecture arbitraire de fichiers. Assurez-vous de valider et de désinfecter les configurations de crédentiels fournies par des sources externes avant de les utiliser.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23529 est une vulnérabilité d'accès arbitraire de fichiers dans le connecteur Google BigQuery Sink, permettant la lecture de fichiers sensibles si les configurations d'authentification ne sont pas correctement validées.
Vous êtes affecté si vous utilisez une version du connecteur Google BigQuery Sink antérieure à 2.11.0.
Mettez à jour le connecteur vers la version 2.11.0 ou supérieure. En attendant, renforcez les contrôles d'accès aux fichiers sensibles.
Il n'y a pas d'indication d'une exploitation active à ce jour, mais la vulnérabilité est considérée comme potentiellement exploitable.
Consultez l'avis de sécurité de Google BigQuery Sink Connector pour plus d'informations et les dernières mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.