CVE-2026-5562: コードインジェクション in provectus kafka-ui

このコードインジェクション脆弱性は、攻撃者がprovectus kafka-uiサーバー上で任意のコードを実行することを可能にします。攻撃者は、この脆弱性を利用して、機密情報を盗み出したり、システムを制御したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。特に、Kafkaクラスタの認証情報や設定情報が漏洩した場合、深刻な被害につながる可能性があります。公開されているPoCが存在することから、攻撃の実現可能性は高く、早急な対応が必要です。類似の脆弱性は、他のWebアプリケーションフレームワークでも報告されており、注意が必要です。

Organizations utilizing provectus kafka-ui versions 0.7.0 through 0.7.2, particularly those with exposed Kafka UI instances or those lacking robust input validation mechanisms, are at significant risk. Shared hosting environments where multiple users share the same Kafka UI instance are also particularly vulnerable.

• java / server:

ps aux | grep kafka-ui

• java / server:

journalctl -u kafka-ui -f | grep "validateAccess"

• generic web:

curl -I https://<your_kafka_ui_host>/api/smartfilters/testexecutions

• generic web:

grep -i 'validateAccess' /var/log/apache2/access.log

1. 2026-04-05Disclosure

   disclosure

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

CVE-2026-5562の緩和策として、まずprovectus kafka-uiをバージョン0.7.3にアップグレードすることを推奨します。アップグレードが困難な場合は、Web Application Firewall (WAF) を導入し、/api/smartfilters/testexecutionsエンドポイントへの不正なリクエストをブロックしてください。また、入力検証を強化し、validateAccess関数への不正な入力が到達しないようにすることも有効です。WAFの設定例として、POSTリクエストのContent-Typeをapplication/jsonに制限し、JSONペイロードのスキーマを検証するルールを実装することを検討してください。アップグレード後、validateAccess関数の動作をテストし、脆弱性が解消されていることを確認してください。