关于Apache Kafka 反序列化漏洞（CVE-2023-25194）

最新推荐文章于 2025-06-07 18:28:40 发布

sandfeng

最新推荐文章于 2025-06-07 18:28:40 发布

阅读量875

点赞数

CC 4.0 BY-SA版权

文章标签：安全网络安全系统安全安全威胁分析

本文链接：https://blog.youkuaiyun.com/sandfeng/article/details/129706184

ApacheKafka存在一个高危反序列化漏洞，可能导致远程代码执行（RCE）。受影响的版本为2.3.0到3.3.2。Apache已发布安全补丁，建议用户立即更新到最新版本以修复该问题。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Kafka 是由 Apache 软件基金会开发的一个开源流处理平台，由 Scala 和 Java 编写。

【漏洞说明】

Apache 发布安全公告，Apache Kafka 存在反序列化漏洞。此漏洞允许服务器连接到攻击者的 LDAP 服务器并反序列化 LDAP 响应，攻击者可以使用它在 Kafka 连接服务器上执行 java 反序列化小工具链。当类路径中有小工具时，攻击者可以造成不可信数据的无限制反序列化（或）RCE 漏洞。

漏洞编号：CVE-2023-25194。漏洞威级：高危。

【影响范围】

2.3.0 <=Apache Kafka<=3.3.2

【修复建议】

厂商已发布安全补丁修复漏洞，请及时下载更新。下载地址：https://kafka.apache.org/downloads

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sandfeng

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Apache Kafka 反序列化漏洞分析

JasaLee的博客

08-12

4892

Apache Kafaka 反序列化漏洞分析

Kafka反序列化RCE漏洞（CVE-2023-34040）

蚁景网安学院

11-03

989

Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录 (record) 指 Kafka 消息中的一条记录。这一个漏洞所影响的组件其实是 Spring-Kafka，严格意义上来说并不算是 kafka 的漏洞，应该算是 Spring 的漏洞。

1 条评论您还未登录，请先登录后发表或查看评论

CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)

热门推荐

EdwardWang_的博客

02-10

1万+

Apache Kafka 漏洞【CVE-2023-25194】说明及解决建议

Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现

qq_53003652的博客

07-14

1460

在版本3.3.2及以前，Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列，Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=，则可以发起JNDI连接，进而导致JNDI注入漏洞，执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali：192.168.126.128。发送数据包，回到靶机，进入漏洞目录下。

【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

OSCS开源安全社区

08-25

1002

墨知是国内首个专注软件供应链安全领域的技术社区，社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容，包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析（SCA）、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流，帮助组织和个人提高软件供应链的安全性，减少供应链攻击的风险，并保护软件生态系统的整体安全。

【jascon漏洞复现】CVE-2017-7525反序列化漏洞+CVE-2017-17485远程代码执行漏洞

serendipity1130的博客

09-01

2548

Jackson的漏洞主要集中在jackson-databind中，当启用Global default typing，类似于FastJson的autoType，会存在各种各样的反序列化绕过类区分Fastjson和Jackson： {"name":"S","age":21} {"name":"S","age":21,"agsbdkjada__ss_d":123} 这两个fastjson都不会报错，而jackson会报错，因为Jackson因为强制key与javabean属性对齐,只能少不能多 ke.

JMX 反序列化漏洞

蚁景网安学院

07-18

1131

前段时间看到普元 EOS Platform 爆了这个洞，Apache James，Kafka-UI 都爆了这几个洞，所以决定系统来学习一下这个漏洞点。JMX（Java Management Extensions，即 Java 管理扩展）是一个为应用程序、设备、系统等植入管理功能的框架。

漏洞预警|Apache Kafka 拒绝服务漏洞

LJQClqjc的博客

09-22

974

棱镜七彩安全预警

Kafka漏洞修复之CVE-2023-25194修复措施验证

CharlesYan的博客

02-19

6004

Apache Kafka Connect 模块通过JNDI 注入任意代码漏洞修复措施验证，包括Linux安装多版本JDK动态切换、验证OpenJDK与Kafka3.4.0的兼容性以及Linux中文件配置的优先级等

kafka tool 可视化攻击

06-29

kafka tool 可视化工具，官网地址如下：http://www.kafkatool.com/download.html

Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)

qq_40646572的博客

05-14

3735

2、无法升级的用户可通过验证Kafka Connect连接器配置，仅允许受信任的JNDI配置来缓解此漏洞。在该功能中，将payload填写到Consumer properties属性值中即可。在payload提交前，请先在vps机器中开启ldap服务。在Load data功能页中的Streaming功能中。我是通过vulhub下载的环境，下载后直接启动即可。打开页面，漏洞点在Load data功能页中。使用低版本的jdk中的ldap服务即可。

CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞

Fiverya的博客

02-10

4026

CVE-2023-25194漏洞

Apache Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)

0xSec

03-18

6872

在Apache Kafka Connect中存在JNDI注入漏洞，当攻击者可访问Kafka Connect Worker，且可以创建或修改连接器时，通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule，进而可导致JNDI注入，造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。

【Kafka】log4j2漏洞不影响集群安全

扬_帆_起_航

12-01

543

虽然Kafka不会受此事件影响，但是Kafka客户端日志输出需要用户单独引用配置，所以大家还是注意一下是否使用受影响版本的log4j2.x进行日志打印。

漏洞复现-Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194)

玄道的网安博客

08-11

718

在版本3.3.2及以前，Apache Kafka clients中存在一处JNDI注入漏洞。如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule，则可以发起JNDI连接，进而导致JNDI注入漏洞，执行任意命令。方法，做完客户端的判断和安全协议的判断之后，调用了。判断 SASL 模式是否开启，开启了才会往下跟进到。方法，跟进，发现其中还是加载了一些配置。方法，最后 Jndi 注入。

Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析

蚁景网安学院

03-23

1081

Apache Kafka是一个开源的分布式事件流平台，被数千家公司用于高性能数据管道、流分析、数据集成和任务关键型应用程序。