基本信息
漏洞编号: CVE-2025-27818
危险等级: 高危
影响版本: Apache Kafka Client 2.3.0 至 3.9.0
受影响组件: kafka-clients
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
CVE-2025-27818 是影响 Apache Kafka Client 的高危反序列化漏洞。攻击者如能控制 Kafka Connect 客户端,并通过 SASL JAAS 配置或基于 SASL 的安全协议创建或修改连接器配置,可利用 LdapLoginModule 相关参数,触发任意代码执行。该漏洞原理为配置参数未加安全校验,导致恶意输入被反序列化进而执行任意代码。
影响范围
影响版本
Apache Kafka Client 2.3.0 through 3.9.0
受影响的产品
- 所有依赖受影响 kafka-clients 版本的 Apache Kafka Connect 部署
- 自建或第三方依赖 Kafka Client 的业务系统
验证方法
- 检查部署环境中 kafka-clients 的版本号,确认是否在受影响范围。
修复方案
方案一:版本升级(推荐)
升级 Apache Kafka Client 至官方已修复的最新版本(3.9.1 及以上)。
<dependency>
<groupId>org.apache.kafka</groupId>
<artifactId>kafka-clients</artifactId>
<version>3.9.1</version>
</dependency>
方案二:临时修复
如短期无法升级,建议在配置文件中禁用或严格限制 LdapLoginModule 的使用,并加固配置参数校验。
同时,强化访问控制,仅允许可信管理员修改相关配置,并监控异常配置变更行为。