Platform
other
Component
bigquery-connector-for-apache-kafka
Opgelost in
2.11.1
De Google BigQuery Sink connector, een onderdeel van Apache Kafka, maakt het mogelijk data van Kafka naar Google BigQuery te sturen. CVE-2026-23529 beschrijft een kwetsbaarheid waarbij een aanvaller ongeautoriseerd toegang kan krijgen tot bestanden. Deze kwetsbaarheid treft versies van de connector die kleiner of gelijk zijn aan 2.11.0. Een update naar versie 2.11.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen waar de connector draait. Dit kan leiden tot data-exfiltratie, compromittering van gevoelige configuratiebestanden, of zelfs verdere toegang tot het systeem. De impact is aanzienlijk, vooral in omgevingen waar de connector wordt gebruikt om gevoelige data naar BigQuery te verplaatsen. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met scenario's waarbij ongeautoriseerde toegang tot configuratiebestanden wordt verkregen om verdere aanvalspaden te openen.
Deze kwetsbaarheid is openbaar gemaakt op 2026-01-16. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de kwetsbaarheid is significant genoeg om aandacht te vragen. De KEV-status is momenteel onbekend. Het is belangrijk om deze kwetsbaarheid serieus te nemen en de aanbevolen mitigatiestappen te implementeren.
Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.
• linux / server:
find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'• generic web:
curl -I <connector_endpoint> | grep -i 'credential.json'disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Google BigQuery Sink connector naar versie 2.11.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die de connector uitvoert. Controleer de configuratiebestanden van de connector op verdachte wijzigingen. Implementeer een Web Application Firewall (WAF) die verzoeken filtert op basis van bekende patronen die verband houden met file access exploits. Na de upgrade, verifieer de fix door te proberen bestanden te lezen via de connector met een gebruiker die geen toegang zou moeten hebben.
Werk de Kafka BigQuery Connector bij naar versie 2.11.0 of hoger. Deze versie corrigeert de willekeurige bestandslezing kwetsbaarheid. Zorg ervoor dat u extern-afkomstige credential configuraties valideert en desinfecteert voordat u ze gebruikt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23529 is een kwetsbaarheid in de Google BigQuery Sink connector die ongeautoriseerde toegang tot bestanden mogelijk maakt. Het treft versies ≤ 2.11.0.
Ja, als u versie 2.11.0 of lager van de Google BigQuery Sink connector gebruikt, bent u kwetsbaar.
Upgrade de connector naar versie 2.11.0 of hoger. Indien dit niet mogelijk is, implementeer tijdelijke mitigatiemaatregelen zoals het beperken van rechten.
Er is momenteel geen bevestigd bewijs van actieve exploitatie, maar de kwetsbaarheid is significant en vereist aandacht.
Raadpleeg de officiële Google BigQuery Sink Connector documentatie en beveiligingsadviezen voor de meest actuele informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.