CVE-2018-17196

Опубликовано: 11 июл. 2019

Источник: redhat

CVSS3: 8.8

Описание

In Apache Kafka versions between 0.11.0.0 and 2.1.0, it is possible to manually craft a Produce request which bypasses transaction/idempotent ACL validation. Only authenticated clients with Write permission on the respective topics are able to exploit this vulnerability. Users should upgrade to 2.1.1 or later where this vulnerability has been fixed.

A flaw was found in Apache Kafka. This flaw allows authorized clients with write permissions to manually craft a Produce request, which can bypass transaction/idempotent ACL checks.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Fuse 7	kafka	Not affected
Red Hat JBoss Fuse 6	kafka	Not affected
Red Hat Mobile Application Platform 4	kafka	Out of support scope
Red Hat OpenShift Application Runtimes	kafka	Not affected
streams for Apache Kafka	kafka	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-20

https://bugzilla.redhat.com/show_bug.cgi?id=1732309kafka: potential to bypass transaction/idempotent ACL checks

8.8 High

CVSS3

Связанные уязвимости

CVE-2018-17196

CVSS3: 8.8

nvd

больше 6 лет назад

CVE-2018-17196

CVSS3: 8.8

debian

больше 6 лет назад

In Apache Kafka versions between 0.11.0.0 and 2.1.0, it is possible to ...

GHSA-47w3-66wq-cpxg

CVSS3: 8.8

github

больше 3 лет назад

Improper Input Validation in Apache Kafka

BDU:2022-03778

CVSS3: 8.8

fstec

больше 6 лет назад

Уязвимость диспетчера сообщений Apache Kafka, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения безопасности

8.8 High

CVSS3