प्लेटफ़ॉर्म
java
घटक
org.apache.kafka:kafka-clients
में ठीक किया गया
3.9.2
4.0.2
4.1.2
3.9.2
CVE-2026-35554 describes a race condition vulnerability affecting the Apache Kafka Java producer client. This flaw allows messages to be silently delivered to incorrect topics, potentially leading to data corruption and misdirection. Versions of the Kafka client up to and including 3.9.1 are vulnerable. A fix is available in version 3.9.2.
Apache Kafka Clients में CVE-2026-35554 Java उत्पादक के बफर पूल प्रबंधन को प्रभावित करता है। यह एक रेस कंडीशन है जो कुछ विशिष्ट परिस्थितियों में संदेशों को गलत टॉपिक पर चुपचाप वितरित करने का कारण बन सकती है। यह तब होता है जब डिलीवरी टाइमआउट (delivery.timeout.ms) के कारण एक उत्पादन बैच समाप्त हो जाता है, जबकि उस बैच को शामिल करने वाले नेटवर्क अनुरोध अभी भी प्रगति पर है। इस बैच का ByteBuffer समय से पहले डीलोकेट हो जाता है और बफर पूल में वापस आ जाता है। यदि बाद में एक उत्पादक बैच - संभवतः किसी अन्य टॉपिक के लिए लक्षित - मूल नेटवर्क अनुरोध पूरा होने से पहले इस जारी किए गए बफर को पुन: उपयोग करता है, तो मूल बैच का डेटा गलत टॉपिक पर लिखा जा सकता है, बिना किसी त्रुटि अधिसूचना के।
इस भेद्यता का शोषण करने के लिए एक ऐसे वातावरण की आवश्यकता होती है जहां डिलीवरी टाइमआउट रेस कंडीशन को सक्षम करने के लिए पर्याप्त रूप से लंबे हों। एक हमलावर विभिन्न टॉपिक पर बड़ी मात्रा में संदेश भेजने का प्रयास कर सकता है, अनधिकृत टॉपिक पर संदेश भेजने के लिए बफर पुन: उपयोग का लाभ उठा सकता है। शोषण की कठिनाई नेटवर्क कॉन्फ़िगरेशन और सिस्टम लोड पर निर्भर करती है। शोषण की संभावना को कम से मध्यम माना जाता है, लेकिन डेटा अखंडता पर संभावित प्रभाव महत्वपूर्ण है। विशिष्ट वातावरण में भेद्यता का आकलन करने के लिए प्रवेश परीक्षण की सिफारिश की जाती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CVSS वेक्टर
CVE-2026-35554 के लिए प्राथमिक शमन Apache Kafka Clients को संस्करण 3.9.2 या उच्चतर में अपग्रेड करना है। यह संस्करण बफर पूल प्रबंधन में रेस कंडीशन को ठीक करता है। एक अस्थायी उपाय के रूप में, delivery.timeout.ms मान को कम करने पर विचार करें। इससे बैच के नेटवर्क अनुरोध पूरा होने से पहले समाप्त होने की संभावना कम हो जाएगी, लेकिन डिलीवरी विलंबता बढ़ सकती है। असामान्य व्यवहार, जैसे कि अप्रत्याशित टॉपिक पर दिखाई देने वाले संदेशों के लिए Kafka लॉग की नियमित रूप से निगरानी करें। संभावित डेटा अखंडता समस्याओं से बचने के लिए पैच लागू करना प्राथमिकता दी जानी चाहिए।
Actualice a Apache Kafka Clients versión 3.9.2 o superior, 4.0.2 o superior, 4.1.2 o superior, o 4.2.0 o superior para mitigar la vulnerabilidad de corrupción de mensajes y enrutamiento incorrecto debido a una condición de carrera en el pool de búferes.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह बफर (मेमोरी क्षेत्र) का एक संग्रह है जिसका उपयोग Kafka उत्पादक ब्रोकर को संदेश भेजने से पहले संदेशों को संग्रहीत करने के लिए करता है। इसका उद्देश्य प्रदर्शन को अनुकूलित करना है।
संस्करण 3.9.2 में इस भेद्यता के लिए एक फिक्स शामिल है, जो रेस कंडीशन को समाप्त करता है और गलत टॉपिक पर संदेशों के चुपचाप वितरित होने से रोकता है।
यह एक त्रुटि है जो तब होती है जब किसी प्रोग्राम का परिणाम कई प्रक्रियाओं या थ्रेड के निष्पादन के क्रम पर निर्भर करता है।
अपने Kafka क्लाइंट के संस्करण की जांच करें। यदि आप 3.9.2 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित होने की संभावना है।
एक अस्थायी उपाय के रूप में, delivery.timeout.ms मान को कम करें और Kafka लॉग की निगरानी करें ताकि कोई विसंगति न हो।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।