Уязвимость программной платформы Spring для Apache Kafka (spring-kafka) связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Использование рекомендаций:
https://github.com/spring-projects/spring-kafka/releases
https://spring.io/security/cve-2023-34040
Компенсирующие меры:
1. Рекомендуется установить конфигурацию ErrorHandlingDeserializers ( отключена по умолчанию) для удаления любых вредоносных заголовков перед обработкой записи;
2. При неиспользовании конфигурации ErrorHandlingDeserializers, рекомендуется отключить свойства контейнера checkDeserExWhenKeyNull или checkDeserExWhenValueNull
| Балл | 6.8 — высокая опасность |