Informazioni sul CVE-2024-31141

Apache Kafka Clients: Privilege escalation to filesystem read-access via automatic ConfigProvider

CWE ID: CWE-552

Base Score (CVSS): N/A

CVE: CVE-2024-31141

Descrizione: File o directory access permissibile a terzi, vulnerabilità di gestione privilegi in Apache Kafka Client. I Client Kafka accettano dati di configurazione per personalizzare il comportamento, e includono i plugin ConfigProvider per manipolare questi dati. Apache Kafka fornisce implementazioni di ConfigProvider per FileConfigProvider, DirectoryConfigProvider e EnvVarConfigProvider, che includono la capacità di leggere da disco o variabili d’ambiente. In applicazioni in cui i dati di configurazione di Apache Kafka Client possono essere specificati da un soggetto non fidato, gli attaccanti possono utilizzare questi plugin per leggere contenuti arbitrari da disco e variabili d’ambiente. In particolare, questo difetto può essere utilizzato in Apache Kafka Connect per passare da un accesso API REST a un accesso filesystem/ambiente, il che potrebbe essere indesiderabile in alcuni ambienti, inclusi i prodotti SaaS. Questo problema si applica a Apache Kafka Client: a partire dal 2.3.0 fino al 3.5.2, 3.6.2 e 3.7.0. Gli utenti che hanno applicazioni interessate sono raccomandati di aggiornare Kafka-clients a una versione maggiore di >=3.8.0 e di impostare la proprietà JVM system “org.apache.kafka.automatic.config.providers=none” nel loro configuratore. Gli utenti di Kafka Connect con una delle implementazioni di ConfigProvider specificate nella loro configurazione del worker sono inoltre raccomandati di aggiungere appropriati “allowlist.pattern” e “allowed.paths” per limitare la loro operazione a limiti appropriati. Non è raccomandato impostare il sistema proprietà per gli utenti di Kafka Client o Kafka Connect in ambienti in cui gli utenti hanno accesso a disco e variabili d’ambiente. Non è raccomandato impostare il sistema proprietà per gli utenti del Broker, Kafka MirrorMaker 2.0, Kafka Streams e strumenti Kafka a riga di comando.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica Valore Significato Descrizione

Riferimenti esterni

Prodotti interessati

  • Apache Software Foundation – Apache Kafka Clients

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Kafka Clients
Anno: 2024
CWE: CWE-552
CVSS: 0.0

Ulteriori risorse disponibili