2024年6月24日,网上更新披露了一个Apache Kafka UI 远程代码执行漏洞(CVE-2024-32030),Kafka UI 是用于 Apache Kafka 的开源 Web UI,请各位用户尽快安装漏洞补丁。
漏洞风险:在受影响版本中,Kafka UI 通过连接到 Kafka 代理的 JMX 端口来监控其性能,攻击者可以利用该功能将 Kafka UI 后端连接到恶意代理,从而发起反序列化攻击。在修复版本中,通过使用 commons-collections4 替换 commons-collections 以修复漏洞。
风险等级:高风险。
影响范围:
kafka_ui@(-∞, 0.7.2)
修复建议:
目前厂商已经发布了新版本以修复此安全问题,升级至不受影响的版本0.7.2
进行安全更新方法:
https://github.com/provectus/kafka-ui/releases
