【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

最新推荐文章于 2025-04-25 15:59:22 发布
最新推荐文章于 2025-04-25 15:59:22 发布
阅读量968 收藏 1
点赞数 2
分类专栏: 漏洞情报订阅 文章标签: spring kafka java 安全 漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cups107/article/details/132496954
版权
本文详细介绍了Spring Kafka的中危反序列化漏洞CVE-2023-34040,包括其危害、影响范围、OSCS和Spring Security Advisories平台的处置方案,以及如何进行排查。墨知社区提供了全面的软件供应链安全知识,包括漏洞分析、行业研究和最佳实践,旨在提升软件供应链安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

https://zhi.oscs1024.com/
zhi.oscs1024.com​​​​​
漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危
MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度

漏洞危害

OSCS 描述
Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。
受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。<
最低0.47元/天 解锁文章
Apache Kafka 反序列化漏洞分析
JasaLee的博客
08-12 4825
Apache Kafaka 反序列化漏洞分析
JMX 反序列化漏洞
CTZL123456的博客
07-19 1157
前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。
Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040
日拱一卒无有尽,功不唐捐终入海
08-30 1868
背景:公司项目扫描到 Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873Spring KafkaSpring 框架提供的一个库,它提供了使用 Apache Kafka 的便捷方式。Apache Kafka 是一个开源的流处理平台,主要用于构建实时数据流管道和应用。Spring Kafka 通过提供一种抽象和封装的方法,使开发者能够更容易地在 Spring 框架中使用 Apache Kafka
CVE-2023-25194 漏洞分析:Apache Kafka Connect 远程代码执行漏洞
最新发布
2302_82311116的博客
04-25 502
CVE-2023-25194 是 Apache Kafka Connect 中披露的一个高远程代码执行(RCE)漏洞。该漏洞源于 Kafka Connect 的 REST API 在处理 connector 配置时未严格限制 plugin.path 参数,攻击者可通过构造恶意请求加载任意目录下的 JAR 包,执行任意 Java 类,进而实现远程代码执行。
CVE-2023-34040 Kafka 反序列化RCE
YJ_12340的博客
11-06 654
Spring KafkaSpring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record)Kafka 消息中的一条记录。
Kafka反序列化RCE漏洞CVE-2023-34040
蚁景网安学院
11-03 931
Spring KafkaSpring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record)Kafka 消息中的一条记录。这一个漏洞所影响的组件其实是 Spring-Kafka,严格意义上来说并不算是 kafka漏洞,应该算是 Spring漏洞
一个CVE漏洞预警知识库
weixin_46211944的博客
09-11 605
CVE-2023-20858:VMware Carbon Black App Control 远程代码执行漏洞通告。CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告。CVE-2023-25194:Apache Kafka Connect 远程代码执行漏洞通告。CVE-2023-25610:FortiOS & FortiProxy 远程代码执行漏洞通告。CVE-2021-42756 CVE-2022-39952:Fortinet 多个漏洞通告。
〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测
K8哥哥
12-18 4832
title: 〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测 comments: true toc: true categories: exp tags: Log4j2 abbrlink: log4shell date: 2021-12-16 19:24:00 img: https://img-blog.csdnimg.cn/20210117163103552.jpg 漏洞简介 Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Ap.
Apache Kafka 拒绝服务漏洞
OSCS开源安全社区
09-21 1725
1)没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。2)具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。3)具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Apache Kafka是一个高度可扩展的分布式消息队列。
Apache Kafka 漏洞CVE-2023-25194】说明及解决建议
热门推荐
EdwardWang_的博客
02-10 1万+
Apache Kafka 漏洞CVE-2023-25194】说明 及 解决建议
Kafka】log4j2漏洞不影响集群安全
扬_帆_起_航
12-01 530
虽然Kafka不会受此事件影响,但是Kafka客户端日志输出需要用户单独引用配置,所以大家还是注意一下是否使用受影响版本的log4j2.x进行日志打印。
【高】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
xsharkrasp的博客
06-09 2123
Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行。
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
追光者的博客
03-12 595
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
Goby 漏洞发布|Apache Druid Kafka Connect 远程代码执行漏洞CVE-2024-25194)_druid kafka漏洞
2301_82243100的博客
04-15 555
它设计用于处理大规模的实时数据,并提供快速的交互式查询和分析。Apache Druid 使用了存在漏洞Kafka Connect,攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为恶意类,进而可导致JNDI注入漏洞,可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现
qq_53003652的博客
07-14 1345
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali:192.168.126.128。发送数据包,回到靶机,进入漏洞目录下。
漏洞预警|Apache Kafka 拒绝服务漏洞
LJQClqjc的博客
09-22 951
棱镜七彩安全预警
kafka怎么修复FasterXMLJackson-databind反序列化漏洞
10-29
Apache Kafka是一个分布式流处理平台,它本身并不直接包含FasterXML Jackson-databind库。然而,如果你的应用程序依赖Kafka并且使用了Jackson库(包括Jackson-databind)来进行JSON数据的序列化和反序列化,那么可能会涉及到该库的安全问题。 针对FasterXML Jackson-databind的已知反序列化漏洞,通常需要采取以下步骤来修复: 1. **更新Jackson库**:检查你的项目是否使用的是受影响版本的Jackson-databind,如存在CVE漏洞(例如CVE-2019-14788)。如果有必要,升级到最新稳定版,官方会发布安全补丁。 2. **禁用自动解序列化**:由于某些攻击利用了自动构造函数注入的特性,可以配置Jackson禁用无参构造函数的自动创建。通过设置`ObjectMapper`的`DeserializationFeature.FAIL_ON_EMPTY_BEANS`属性为`true`。 ```java ObjectMapper mapper = new ObjectMapper(); mapper.configure(DeserializationFeature.FAIL_ON_EMPTY_BEANS, true); ``` 3. **限制敏感字段的访问**:对敏感数据进行适当的输入验证和过滤,避免恶意输入导致异常构造实例。 4. **启用安全模式**:在生产环境中,启用Jackson的安全模式(`MapperFeature.SAFE_MODE`),这将阻止未标记为JSON的字段被反序列化。 5. **审计日志**:记录并监控所有反序列化操作,以便在发现可疑活动时快速响应。 6. **代码审查**:确保代码中没有滥用Jackson库,特别是在解析来自不可信来源的数据时。 请注意,修复过程可能因应用的具体结构而异。在实际部署前,建议进行全面的安全评估和测试。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值