一、漏洞详情

Kafka UI 是Apache Kafka Management的开源Web UI，旨在简化Apache Kafka集群的管理和监控。

近日，监测到Kafka UI中存在代码执行漏洞（CVE-2024-32030）。Kafka UI API允许用户通过指定网络地址和端口来连接到不同的Kafka brokers，并提供了通过连接到其JMX端口来监控Kafka brokers性能的功能，JMX基于RMI协议，因此可能容易受到反序列化攻击，且Kafka-UI 默认未启用身份验证，威胁者可创建一个恶意JMX侦听器为任何RMI调用返回恶意序列化对象，成功利用该漏洞可能导致远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Kafka UI <= 0.7.1

利用条件：

以下两个条件需要满足其一：

1、设置中设置了 dynamic.config.enabled 属性。默认情况下未启用，但在许多 Kafka UI 教程中建议启用它，包括其自己的 README.md。

2、攻击者可以访问连接到 Kafka UI 的 Kafka 集群。在这种情况下，攻击者可以利用此漏洞扩展其访问权限并在 Kafka UI 上执行代码。

三、修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Kafka UI >= 0.7.2