プラットフォーム
java
コンポーネント
org.apache.kafka:kafka-clients
修正版
3.9.2
4.0.2
4.1.2
3.9.2
Apache Kafka Java プロデューサクライアントのバッファプール管理に Race Condition が存在します。この脆弱性により、メッセージが意図しないトピックにサイレントに配信される可能性があります。影響を受けるバージョンは Apache Kafka 3.9.1 以前です。3.9.2 以降にアップデートすることでこの問題を解決できます。
この脆弱性を悪用されると、攻撃者はプロデューサクライアントがメッセージを送信する際に、バッファの割り当てと解放のタイミングを操作し、メッセージが誤ったトピックに配信されるように仕向ける可能性があります。これにより、機密情報が漏洩したり、システムが不正な動作を起こしたりする可能性があります。特に、重要なデータを扱うトピックに影響が出た場合、ビジネスへの影響は大きくなる可能性があります。この脆弱性は、Kafka のメッセージングシステム全体の信頼性を損なうリスクを孕んでいます。
この CVE は 2026年4月7日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、Race Condition は悪用が容易な脆弱性のタイプであり、今後、悪用コードが公開される可能性があります。EPSS スコアは、現時点では評価中ですが、Race Condition の性質から、中程度の確率で悪用される可能性があると予想されます。NVD および CISA の情報を定期的に確認し、最新の情報を把握することが重要です。
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CVSS ベクトル
まず、Apache Kafka を 3.9.2 以降のバージョンにアップデートすることを強く推奨します。アップデートがすぐに実行できない場合は、delivery.timeout.ms の値を短縮することで、バッファの解放タイミングを遅らせ、Race Condition の発生を抑制できます。また、WAF (Web Application Firewall) やプロキシサーバーを使用して、異常なトピックへのメッセージ送信を監視し、ブロックすることも有効です。Sigma や YARA のルールを作成し、Kafka のログを監視することで、悪用を早期に検知できます。アップデート後、Kafka クラスタのログを監視し、異常なトピックへのメッセージ送信がないことを確認してください。
Actualice a Apache Kafka Clients versión 3.9.2 o superior, 4.0.2 o superior, 4.1.2 o superior, o 4.2.0 o superior para mitigar la vulnerabilidad de corrupción de mensajes y enrutamiento incorrecto debido a una condición de carrera en el pool de búferes.
脆弱性分析と重要アラートをメールでお届けします。
Apache Kafka Java プロデューサクライアントのバッファプール管理における Race Condition です。メッセージが誤ったトピックに配信される可能性があります。
Apache Kafka 3.9.1 以前を使用している場合は影響を受ける可能性があります。メッセージが誤ったトピックに配信されることで、機密情報漏洩やシステム不正動作のリスクがあります。
Apache Kafka を 3.9.2 以降にアップデートしてください。アップデートが難しい場合は、delivery.timeout.ms の値を短縮するなどの回避策を検討してください。
現時点では、具体的な悪用事例は報告されていませんが、Race Condition の性質上、悪用される可能性はあります。
Apache Kafka の公式ドキュメント、NVD (National Vulnerability Database)、CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで詳細情報を確認できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。