Plataforma
java
Componente
org.apache.kafka:kafka-clients
Corrigido em
3.5.3
3.6.3
3.7.1
3.7.1
A vulnerabilidade CVE-2024-31141 é uma falha de Escalada de Privilégios identificada no Apache Kafka Clients. Essa falha permite que atacantes manipulem as configurações do Kafka através de ConfigProviders, como FileConfigProvider e DirectoryConfigProvider, quando as configurações são fornecidas por fontes não confiáveis. Versões afetadas incluem aquelas anteriores ou iguais a 3.7.0. A correção está disponível na versão 3.7.1.
Um atacante pode explorar essa vulnerabilidade fornecendo configurações maliciosas através de ConfigProviders acessíveis a fontes externas. Isso pode levar à modificação do comportamento do Kafka, permitindo a execução de código não autorizado ou o acesso a dados sensíveis. A exploração bem-sucedida pode resultar em comprometimento total do cluster Kafka, permitindo que o atacante controle o fluxo de dados e execute ações arbitrárias. A vulnerabilidade se torna particularmente perigosa em ambientes onde as configurações do Kafka são gerenciadas por scripts ou ferramentas automatizadas que podem ser comprometidas.
A vulnerabilidade foi divulgada em 19 de novembro de 2024. A pontuação EPSS ainda não foi determinada, mas a natureza da vulnerabilidade (escalada de privilégios) sugere um risco potencial significativo. Não há relatos públicos de exploração ativa no momento, mas a disponibilidade de ConfigProviders acessíveis externamente aumenta o risco de exploração futura. Consulte o aviso oficial da Apache para obter mais informações.
Organizations utilizing Apache Kafka Clients in environments where configuration data is sourced from untrusted parties are at significant risk. This includes cloud deployments where configuration files are stored in shared storage, containerized environments where environment variables are easily manipulated, and systems with legacy configuration management practices. Shared hosting environments where multiple users share the same Kafka instance are particularly vulnerable.
• java / server:
ps -ef | grep Kafka• java / server:
find /opt/kafka /usr/local/kafka -name config.properties -print• java / server:
journalctl -u kafka -f | grep "ConfigProvider"disclosure
Status do Exploit
EPSS
0.11% (percentil 30%)
Vetor CVSS
A mitigação primária é atualizar o Apache Kafka Clients para a versão 3.7.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso aos ConfigProviders que leem de fontes externas não confiáveis. Implemente controles de acesso rigorosos para garantir que apenas usuários autorizados possam modificar as configurações do Kafka. Monitore os logs do Kafka em busca de atividades suspeitas, como tentativas de modificar as configurações do sistema. Após a atualização, confirme a correção verificando a versão do Kafka Clients e revisando as configurações para garantir que não foram modificadas.
Actualice la biblioteca kafka-clients a la versión 3.8.0 o superior. Adicionalmente, establezca la propiedad del sistema JVM 'org.apache.kafka.automatic.config.providers' a 'none' para deshabilitar los ConfigProviders automáticos. Si utiliza Kafka Connect, configure 'allowlist.pattern' y 'allowed.paths' para restringir el acceso a archivos y variables de entorno.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-31141 is a vulnerability in Apache Kafka Clients ≤3.7.0 that allows attackers to manipulate Kafka's behavior by influencing configuration data sourced from untrusted parties via ConfigProviders.
You are affected if you are using Apache Kafka Clients versions 3.7.0 or earlier and your Kafka configurations are sourced from potentially untrusted locations like disk or environment variables.
Upgrade to Apache Kafka Clients version 3.7.1 or later. Prior to upgrading, review and secure your configuration management practices to prevent unauthorized configuration changes.
As of November 2024, there are no publicly known active exploits for CVE-2024-31141, but the potential for exploitation exists.
Refer to the Apache Kafka security page for the latest information and advisory regarding CVE-2024-31141: https://kafka.apache.org/security
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.