ГлавнаяБаза уязвимостей БДУ → BDU:2023-05223
6.8высокая

BDU:2023-05223 (CVE-2023-34040)

Уязвимость программной платформы Spring для Apache Kafka (spring-kafka), связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2023-09-07
Описание

Уязвимость программной платформы Spring для Apache Kafka (spring-kafka) связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Kafka (от 2.8.1 до 2.9.10 включительно)Kafka (от 3.0.0 до 3.0.9 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/spring-projects/spring-kafka/releases
https://spring.io/security/cve-2023-34040

Компенсирующие меры:
1. Рекомендуется установить конфигурацию ErrorHandlingDeserializers ( отключена по умолчанию) для удаления любых вредоносных заголовков перед обработкой записи;
2. При неиспользовании конфигурации ErrorHandlingDeserializers, рекомендуется отключить свойства контейнера checkDeserExWhenKeyNull или checkDeserExWhenValueNull

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2023082369https://spring.io/security/cve-2023-34040https://vuldb.com/ru/?id.237914https://github.com/Contrast-Security-OSS/Spring-Kafka-POC-CVE-2023-34040
Проверьте безопасность своего сайта и почты → Полная проверка домена