平台
other
组件
bigquery-connector-for-apache-kafka
修复版本
2.11.1
Google BigQuery Sink connector 是 Apache Kafka 到 Google BigQuery 的 sink 连接器实现。在 2.11.0 版本之前,该连接器存在一个任意文件读取漏洞。攻击者可以通过配置外部来源的凭据文件来利用此漏洞,从而读取系统上的敏感文件。受影响的版本包括 2.11.0 之前的版本,建议尽快升级到 2.11.0 版本以修复此安全问题。
此漏洞允许攻击者通过配置未经验证的凭据文件来读取系统上的任意文件。攻击者可以利用此漏洞访问敏感数据,例如配置文件、密钥文件或包含用户信息的数据库文件。如果攻击者能够读取包含数据库连接字符串的文件,他们可能能够访问 BigQuery 数据库,并进一步执行恶意操作。由于 BigQuery 经常用于存储关键业务数据,因此此漏洞的影响范围可能非常广泛,可能导致数据泄露、业务中断和声誉损失。该漏洞的利用方式类似于其他文件访问漏洞,攻击者可能通过构造恶意的配置信息来触发漏洞。
该漏洞已于 2026-01-16 公开披露。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。该漏洞尚未被添加到 CISA KEV 目录,但其潜在影响值得关注。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations utilizing the Aiven Google BigQuery Kafka Connect Sink connector, particularly those with automated deployment pipelines or shared hosting environments, are at heightened risk. Systems relying on the connector for critical data ingestion processes should be prioritized for patching.
• linux / server:
find /opt/kafka/connectors/ -name 'aiven-bigquery-sink-connector.jar' -print0 | xargs -0 grep -i 'credential.json'• generic web:
curl -I <connector_endpoint> | grep -i 'credential.json'disclosure
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Google BigQuery Sink connector 升级到 2.11.0 或更高版本。如果升级会导致系统中断,可以考虑回滚到之前的稳定版本,但请注意,这只是一个临时解决方案。在升级之前,请务必备份配置和数据。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并限制对连接器的访问。配置 WAF 规则以阻止包含可疑字符或模式的凭据文件上传。在升级后,请验证连接器是否正常工作,并检查系统日志中是否存在异常活动。
将 Kafka BigQuery Connector 更新到 2.11.0 或更高版本。此版本修复了任意文件读取漏洞。确保在使用之前验证和清理提供的外部凭据配置。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23529 是 Google BigQuery Sink connector (≤ 2.11.0) 中发现的一个任意文件读取漏洞,攻击者可以利用此漏洞读取系统上的敏感文件。
如果您正在使用 Google BigQuery Sink connector 的 2.11.0 之前的版本,则可能受到此漏洞的影响。请立即检查您的版本并进行升级。
升级到 Google BigQuery Sink connector 2.11.0 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。
请查阅 Google BigQuery Sink connector 的官方安全公告,以获取有关此漏洞的更多信息和修复指南。