Plataforma
other
Componente
bigquery-connector-for-apache-kafka
Corrigido em
2.11.1
O Google BigQuery Sink Connector, um componente do Apache Kafka, apresenta uma vulnerabilidade de acesso a arquivos arbitrários. Essa falha ocorre devido à falta de validação adequada de arquivos de credenciais fornecidos externamente durante a configuração do conector. A vulnerabilidade afeta versões anteriores ou iguais a 2.11.0 e permite que um atacante leia arquivos no sistema.
Um atacante pode explorar essa vulnerabilidade fornecendo um arquivo de credenciais malicioso durante a configuração do conector. O conector, sem validar adequadamente o conteúdo do arquivo, passará as credenciais para as bibliotecas de autenticação do Google, permitindo o acesso não autorizado a arquivos no sistema de arquivos subjacente. O impacto pode variar dependendo das permissões do usuário do conector, mas potencialmente pode levar à exposição de informações confidenciais armazenadas em arquivos acessíveis. A ausência de validação de entrada torna a exploração relativamente simples, especialmente em ambientes onde a configuração do conector é controlada por fontes externas.
A vulnerabilidade foi divulgada em 16 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão na KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A existência de um Proof of Concept (PoC) público não foi confirmada, mas a natureza da vulnerabilidade sugere que um PoC pode ser desenvolvido com relativa facilidade.
Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.
• linux / server:
find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'• generic web:
curl -I <connector_endpoint> | grep -i 'credential.json'disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Google BigQuery Sink Connector para a versão 2.11.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente controles de acesso rigorosos aos arquivos de credenciais, restringindo o acesso apenas a usuários autorizados. Considere o uso de um proxy reverso ou WAF para inspecionar e bloquear solicitações maliciosas. Monitore os logs do conector em busca de atividades suspeitas, como tentativas de acesso a arquivos inesperados.
Atualize o conector Kafka BigQuery para a versão 2.11.0 ou superior. Esta versão corrige a vulnerabilidade de leitura arbitrária de arquivos. Certifique-se de validar e desinfetar as configurações de credenciais fornecidas externamente antes de utilizá-las.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23529 é uma vulnerabilidade de acesso a arquivos arbitrários no Google BigQuery Sink Connector, afetando versões até 2.11.0. Permite a leitura de arquivos não autorizados devido à falta de validação de credenciais.
Sim, se você estiver utilizando uma versão do Google BigQuery Sink Connector anterior ou igual a 2.11.0, você está potencialmente afetado por essa vulnerabilidade.
A correção é atualizar o Google BigQuery Sink Connector para a versão 2.11.0 ou superior. Se a atualização imediata não for possível, implemente controles de acesso rigorosos aos arquivos de credenciais.
Não há informações disponíveis sobre exploração ativa no momento da divulgação, mas a vulnerabilidade é considerada explorável.
Consulte o site do Google Security para obter informações oficiais sobre a vulnerabilidade e as medidas de correção: [https://security.google.com/]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.