मुफ्त स्कैन करें
HIGHCVE-2026-35554CVSS 8.7

Apache Kafka Clients: बफर पूल रेस कंडीशन के कारण Kafka Producer संदेश भ्रष्टाचार और गलत रूटिंग

प्लेटफ़ॉर्म

java

घटक

org.apache.kafka:kafka-clients

में ठीक किया गया

3.9.2

4.0.2

4.1.2

3.9.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-35554 describes a race condition vulnerability affecting the Apache Kafka Java producer client. This flaw allows messages to be silently delivered to incorrect topics, potentially leading to data corruption and misdirection. Versions of the Kafka client up to and including 3.9.1 are vulnerable. A fix is available in version 3.9.2.

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँ

Apache Kafka Clients में CVE-2026-35554 Java उत्पादक के बफर पूल प्रबंधन को प्रभावित करता है। यह एक रेस कंडीशन है जो कुछ विशिष्ट परिस्थितियों में संदेशों को गलत टॉपिक पर चुपचाप वितरित करने का कारण बन सकती है। यह तब होता है जब डिलीवरी टाइमआउट (delivery.timeout.ms) के कारण एक उत्पादन बैच समाप्त हो जाता है, जबकि उस बैच को शामिल करने वाले नेटवर्क अनुरोध अभी भी प्रगति पर है। इस बैच का ByteBuffer समय से पहले डीलोकेट हो जाता है और बफर पूल में वापस आ जाता है। यदि बाद में एक उत्पादक बैच - संभवतः किसी अन्य टॉपिक के लिए लक्षित - मूल नेटवर्क अनुरोध पूरा होने से पहले इस जारी किए गए बफर को पुन: उपयोग करता है, तो मूल बैच का डेटा गलत टॉपिक पर लिखा जा सकता है, बिना किसी त्रुटि अधिसूचना के।

शोषण संदर्भ

इस भेद्यता का शोषण करने के लिए एक ऐसे वातावरण की आवश्यकता होती है जहां डिलीवरी टाइमआउट रेस कंडीशन को सक्षम करने के लिए पर्याप्त रूप से लंबे हों। एक हमलावर विभिन्न टॉपिक पर बड़ी मात्रा में संदेश भेजने का प्रयास कर सकता है, अनधिकृत टॉपिक पर संदेश भेजने के लिए बफर पुन: उपयोग का लाभ उठा सकता है। शोषण की कठिनाई नेटवर्क कॉन्फ़िगरेशन और सिस्टम लोड पर निर्भर करती है। शोषण की संभावना को कम से मध्यम माना जाता है, लेकिन डेटा अखंडता पर संभावित प्रभाव महत्वपूर्ण है। विशिष्ट वातावरण में भेद्यता का आकलन करने के लिए प्रवेश परीक्षण की सिफारिश की जाती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.04% (11% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकorg.apache.kafka:kafka-clients
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
2.8.0 – 3.9.13.9.2
4.0.0 – 4.0.14.0.2
4.1.0 – 4.1.14.1.2
2.8.03.9.2

कमजोरी वर्गीकरण (CWE)

CWE-416CWE-362

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-35554 के लिए प्राथमिक शमन Apache Kafka Clients को संस्करण 3.9.2 या उच्चतर में अपग्रेड करना है। यह संस्करण बफर पूल प्रबंधन में रेस कंडीशन को ठीक करता है। एक अस्थायी उपाय के रूप में, delivery.timeout.ms मान को कम करने पर विचार करें। इससे बैच के नेटवर्क अनुरोध पूरा होने से पहले समाप्त होने की संभावना कम हो जाएगी, लेकिन डिलीवरी विलंबता बढ़ सकती है। असामान्य व्यवहार, जैसे कि अप्रत्याशित टॉपिक पर दिखाई देने वाले संदेशों के लिए Kafka लॉग की नियमित रूप से निगरानी करें। संभावित डेटा अखंडता समस्याओं से बचने के लिए पैच लागू करना प्राथमिकता दी जानी चाहिए।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a Apache Kafka Clients versión 3.9.2 o superior, 4.0.2 o superior, 4.1.2 o superior, o 4.2.0 o superior para mitigar la vulnerabilidad de corrupción de mensajes y enrutamiento incorrecto debido a una condición de carrera en el pool de búferes.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-35554 क्या है — org.apache.kafka:kafka-clients में Insecure Deserialization?

यह बफर (मेमोरी क्षेत्र) का एक संग्रह है जिसका उपयोग Kafka उत्पादक ब्रोकर को संदेश भेजने से पहले संदेशों को संग्रहीत करने के लिए करता है। इसका उद्देश्य प्रदर्शन को अनुकूलित करना है।

क्या मैं org.apache.kafka:kafka-clients में CVE-2026-35554 से प्रभावित हूं?

संस्करण 3.9.2 में इस भेद्यता के लिए एक फिक्स शामिल है, जो रेस कंडीशन को समाप्त करता है और गलत टॉपिक पर संदेशों के चुपचाप वितरित होने से रोकता है।

org.apache.kafka:kafka-clients में CVE-2026-35554 को कैसे ठीक करें?

यह एक त्रुटि है जो तब होती है जब किसी प्रोग्राम का परिणाम कई प्रक्रियाओं या थ्रेड के निष्पादन के क्रम पर निर्भर करता है।

क्या CVE-2026-35554 का सक्रिय रूप से शोषण किया जा रहा है?

अपने Kafka क्लाइंट के संस्करण की जांच करें। यदि आप 3.9.2 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है।

CVE-2026-35554 के लिए org.apache.kafka:kafka-clients का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

एक अस्थायी उपाय के रूप में, delivery.timeout.ms मान को कम करें और Kafka लॉग की निगरानी करें ताकि कोई विसंगति न हो।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें