关于Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819)的安全预警

一、 基本情况

Apache Kafka是一个开源的分布式流处理平台，主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输，可广泛应用于日志收集、事件监控、流式计算等场景。Kafka 通过Producer、Broker和Consumer构建消息管道，具备持久化、高可用和容错能力，广泛用于大数据和微服务架构中。

二、 漏洞描述

Apache发布安全公告，披露Apache Kafka Broker存在一个远程代码执行（RCE）漏洞（CVE-2025-27819）。攻击者如具备AlterConfigs权限，可通过修改SASL JAAS配置启用JndiLoginModule，诱使Broker连接至恶意JNDI服务，触发Java反序列化链，最终导致任意代码执行或拒绝服务（DoS）攻击。另外在Apache Kafka Client中存在一个任意文件读取与SSRF漏洞（CVE-2025-27817）。攻击者可通过配置sasl.oauthbearer.token.endpoint.url和sasl.oauthbearer.jwks.endpoint.url参数，读取服务器磁盘文件、环境变量，或向任意目标地址发起请求。在Kafka Connect场景中，攻击者可借助REST API接口实现权限提升，访问文件系统、环境信息，或发起SSRF攻击。

三、 影响范围

CVE-2025-27819：2.0.0 ≤ Apache Kafka ≤ 3.3.2

CVE-2025-27817：3.1.0 ≤ Apache Kafka Client ≤ 3.9.0

四、 修复建议

CVE-2025-27817：建议将 Apache Kafka Client 升级至 4.0.0 或以上版本，默认启用 URL 白名单机制，显著降低风险。

CVE-2025-27819：建议将 Apache Kafka 升级至 3.9.1 或以上版本，默认禁用高风险登录模块，降低远程代码执行风险。

下载链接：https://kafka.apache.org/downloads/

五、 参考链接

https://lists.apache.org/thread/94yzzj01d37l0bn3q4m6y9ohplkvmysn

https://lists.apache.org/thread/6cm2d0q5126lp7w591wt19211s5xxcsm