关于Apache Kafka 反序列化漏洞（CVE-2023-25194）

最新推荐文章于 2025-06-07 18:28:40 发布

原创最新推荐文章于 2025-06-07 18:28:40 发布 · 980 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络安全 #系统安全 #安全威胁分析

ApacheKafka存在一个高危反序列化漏洞，可能导致远程代码执行（RCE）。受影响的版本为2.3.0到3.3.2。Apache已发布安全补丁，建议用户立即更新到最新版本以修复该问题。

Kafka 是由 Apache 软件基金会开发的一个开源流处理平台，由 Scala 和 Java 编写。

【漏洞说明】

Apache 发布安全公告，Apache Kafka 存在反序列化漏洞。此漏洞允许服务器连接到攻击者的 LDAP 服务器并反序列化 LDAP 响应，攻击者可以使用它在 Kafka 连接服务器上执行 java 反序列化小工具链。当类路径中有小工具时，攻击者可以造成不可信数据的无限制反序列化（或）RCE 漏洞。

漏洞编号：CVE-2023-25194。漏洞威级：高危。

【影响范围】

2.3.0 <=Apache Kafka<=3.3.2

【修复建议】

厂商已发布安全补丁修复漏洞，请及时下载更新。下载地址：https://kafka.apache.org/downloads

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sandfeng

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【漏洞复现】Apache Druid RCE (CVE-2023-25194) 漏洞

李同學的安全圈

11-01

1181

Apache Kafka 是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流,Kafka Connect 是一种用于在kafka和其它系统之间可扩展、可靠的流式传数据的工具。在Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码。(其他使用Apache Kafka Connect的产品也可能受CVE-2023-25194漏洞影响)

Altenergy电力系统控制软件 RCE漏洞复现(CVE-2023-28343)

0xSec

12-08

1595

Altenergy Power System Control Software C1.2.5版本存在安全漏洞，该系统/set_timezone存在操作系统命令注入漏洞，攻击者可执行任意命令获取服务器权限。

1 条评论您还未登录，请先登录后发表或查看评论

【漏洞真实影响分析】Apache Kafka Connect 模块JNDI注入（CVE-2023-25194）

murphysec的博客

02-13

4994

Apache Kafka Connect 是Kafka中用于和其他数据系统传输数据的服务，其独立运行版本可以在Kafka发布包中通过bin/connect-standalone.sh启动，默认会在8083端口开启HTTP REST API服务，可对连接器（Connector）的配置进行操作

Kafka反序列化RCE漏洞（CVE-2023-34040）

蚁景网安学院

11-03

1152

Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录 (record) 指 Kafka 消息中的一条记录。这一个漏洞所影响的组件其实是 Spring-Kafka，严格意义上来说并不算是 kafka 的漏洞，应该算是 Spring 的漏洞。

Apache Kafka 反序列化漏洞分析

JasaLee的博客

08-12

4950

Apache Kafaka 反序列化漏洞分析

【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

OSCS开源安全社区

08-25

1090

墨知是国内首个专注软件供应链安全领域的技术社区，社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容，包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析（SCA）、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流，帮助组织和个人提高软件供应链的安全性，减少供应链攻击的风险，并保护软件生态系统的整体安全。

【jascon漏洞复现】CVE-2017-7525反序列化漏洞+CVE-2017-17485远程代码执行漏洞

serendipity1130的博客

09-01

2632

Jackson的漏洞主要集中在jackson-databind中，当启用Global default typing，类似于FastJson的autoType，会存在各种各样的反序列化绕过类区分Fastjson和Jackson： {"name":"S","age":21} {"name":"S","age":21,"agsbdkjada__ss_d":123} 这两个fastjson都不会报错，而jackson会报错，因为Jackson因为强制key与javabean属性对齐,只能少不能多 ke.

JMX 反序列化漏洞

CTZL123456的博客

07-19

1291

前段时间看到普元 EOS Platform 爆了这个洞，Apache James，Kafka-UI 都爆了这几个洞，所以决定系统来学习一下这个漏洞点。

kafka怎么修复FasterXMLJackson-databind反序列化漏洞

10-29

针对FasterXML Jackson-databind的已知反序列化漏洞，通常需要采取以下步骤来修复： 1. **更新Jackson库**：检查你的项目是否使用的是受影响版本的Jackson-databind，如存在CVE漏洞（例如CVE-2019-14788）。如果有...

【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)

dzqxwzoe的博客

11-24

1435

Apache Kafka是一个分布式数据流处理平台，可以实时发布、订阅、存储和处理数据流。KafkaConnect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL协议的任意Kafka客户端，对Kafka Connect worker 创建或修改连接器时，通过构造特殊的配置，进行JNDI 注入来实现远程代码执行。

Apache Kafka 漏洞【CVE-2023-25194】说明及解决建议

热门推荐

EdwardWang_的博客

02-10

1万+

Apache Kafka 漏洞【CVE-2023-25194】说明及解决建议

Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现

qq_53003652的博客

07-14

1593

在版本3.3.2及以前，Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列，Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=，则可以发起JNDI连接，进而导致JNDI注入漏洞，执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali：192.168.126.128。发送数据包，回到靶机，进入漏洞目录下。

漏洞预警|Apache Kafka 拒绝服务漏洞

LJQClqjc的博客

09-22

1042

棱镜七彩安全预警

Kafka漏洞修复之CVE-2023-25194修复措施验证

CharlesYan的博客

02-19

6270

Apache Kafka Connect 模块通过JNDI 注入任意代码漏洞修复措施验证，包括Linux安装多版本JDK动态切换、验证OpenJDK与Kafka3.4.0的兼容性以及Linux中文件配置的优先级等

Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)

qq_40646572的博客

05-14

3973

2、无法升级的用户可通过验证Kafka Connect连接器配置，仅允许受信任的JNDI配置来缓解此漏洞。在该功能中，将payload填写到Consumer properties属性值中即可。在payload提交前，请先在vps机器中开启ldap服务。在Load data功能页中的Streaming功能中。我是通过vulhub下载的环境，下载后直接启动即可。打开页面，漏洞点在Load data功能页中。使用低版本的jdk中的ldap服务即可。

CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞

Fiverya的博客

02-10

4099

CVE-2023-25194漏洞

CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)