Platform
java
Component
org.apache.kafka:kafka-clients
Opgelost in
3.9.2
4.0.2
4.1.2
3.9.2
CVE-2026-35554 beschrijft een race condition in de Apache Kafka Java producer client, specifiek in het buffer pool management. Deze kwetsbaarheid kan ertoe leiden dat berichten zonder waarschuwing naar de verkeerde topics worden geleverd, wat de integriteit van de data in gevaar brengt. De kwetsbaarheid treft versies van org.apache.kafka:kafka-clients tot en met 3.9.1. Een patch is beschikbaar in versie 3.9.2.
CVE-2026-35554 in Apache Kafka Clients heeft betrekking op het bufferpoolbeheer van de Java-producer. Het is een race condition die, onder specifieke omstandigheden, kan leiden tot de stille levering van berichten naar de verkeerde onderwerpen (topics). Dit gebeurt wanneer een productiebatch afloopt vanwege de delivery timeout (delivery.timeout.ms) terwijl de netwerkrequest die deze batch bevat, nog steeds actief is. De ByteBuffer van deze batch wordt te vroeg vrijgegeven en teruggeplaatst in de bufferpool. Als een volgende productiebatch – mogelijk bestemd voor een andere topic – deze vrijgegeven buffer hergebruikt voordat de oorspronkelijke netwerkrequest is voltooid, kunnen de gegevens van de oorspronkelijke batch naar de verkeerde topic worden geschreven, zonder enige foutmelding.
Het exploiteren van deze kwetsbaarheid vereist een omgeving waarin de delivery timeouts lang genoeg zijn om de race condition mogelijk te maken. Een aanvaller zou kunnen proberen een groot aantal berichten naar verschillende topics te sturen, waarbij de bufferhergebruik wordt benut om berichten naar niet-geautoriseerde topics te sturen. De moeilijkheidsgraad van de exploitatie hangt af van de netwerkconfiguratie en de systeembelasting. De waarschijnlijkheid van exploitatie wordt als laag tot matig beschouwd, maar de potentiële impact op de dataintegrititeit is aanzienlijk. Penetratie-tests worden aanbevolen om de kwetsbaarheid in specifieke omgevingen te beoordelen.
Exploit Status
EPSS
0.04% (11% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-35554 is het upgraden naar Apache Kafka Clients versie 3.9.2 of hoger. Deze versie corrigeert de race condition in het bufferpoolbeheer. Als tijdelijke maatregel kunt u overwegen de waarde van delivery.timeout.ms te verlagen. Dit vermindert de kans dat een batch afloopt voordat de netwerkrequest is voltooid, maar kan de leverlatency verhogen. Controleer regelmatig de Kafka-logs op ongebruikelijk gedrag, zoals berichten die in onverwachte topics verschijnen. Het toepassen van patches moet prioriteit krijgen om potentiële dataintegrititeitsproblemen te voorkomen.
Actualice a Apache Kafka Clients versión 3.9.2 o superior, 4.0.2 o superior, 4.1.2 o superior, o 4.2.0 o superior para mitigar la vulnerabilidad de corrupción de mensajes y enrutamiento incorrecto debido a una condición de carrera en el pool de búferes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een verzameling buffers (geheugengebieden) die de Kafka-producer gebruikt om berichten op te slaan voordat ze naar de broker worden verzonden. Het doel ervan is om de prestaties te optimaliseren.
Versie 3.9.2 bevat de correctie voor deze kwetsbaarheid, die de race condition elimineert en de stille levering van berichten naar de verkeerde topics voorkomt.
Het is een fout die optreedt wanneer het resultaat van een programma afhangt van de volgorde waarin meerdere processen of threads worden uitgevoerd.
Controleer de versie van uw Kafka-clients. Als u een versie eerder dan 3.9.2 gebruikt, is de kans groot dat u getroffen bent.
Als tijdelijke maatregel verlaagt u de waarde van delivery.timeout.ms en houdt u de Kafka-logs in de gaten voor anomalieën.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.