BDU:2024-05790

Опубликовано: 23 нояб. 2023

Источник: fstec

CVSS3: 8.1

CVSS2: 7.6

EPSS Высокий

Описание

Уязвимость веб-интерфейса диспетчера сообщений Apache Kafka kafka-ui связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Provectus

Наименование ПО

kafka-ui

Версия ПО

до 0.7.2 (kafka-ui)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвиимости;

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Обновление программного обеспечения до версии 0.7.2 и выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-32030
CVE

EPSS

Процентиль: 99%

0.81722

Высокий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2024-32030

CVSS3: 8.1

nvd

больше 1 года назад

Kafka UI is an Open-Source Web UI for Apache Kafka Management. Kafka UI API allows users to connect to different Kafka brokers by specifying their network address and port. As a separate feature, it also provides the ability to monitor the performance of Kafka brokers by connecting to their JMX ports. JMX is based on the RMI protocol, so it is inherently susceptible to deserialization attacks. A potential attacker can exploit this feature by connecting Kafka UI backend to its own malicious broker. This vulnerability affects the deployments where one of the following occurs: 1. dynamic.config.enabled property is set in settings. It's not enabled by default, but it's suggested to be enabled in many tutorials for Kafka UI, including its own README.md. OR 2. an attacker has access to the Kafka cluster that is being connected to Kafka UI. In this scenario the attacker can exploit this vulnerability to expand their access and execute code on Kafka UI as well. Instead of setting up a legitim

EPSS

Процентиль: 99%

0.81722

Высокий

8.1 High

CVSS3

7.6 High

CVSS2