• 漏洞编号：CVE-2024-32030
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2024-06-20

漏洞描述

Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能，它还提供了通过连接到其JMX端口监视Kafka brokers性能的能力。CVE\-2024\-32030 中，由于默认情况下Kafka UI未开启认证授权，攻击者可构造恶意请求利用后台功能执行任意代码，控制服务器。官方已发布安全更新，修复该漏洞。

修复建议

1. 增加Kafka UI认证授权 2. 建议升级至 0.7.2 及其以上版本。

参考链接

https://github.com/provectus/kafka-ui/commit/83b5a60cc08501b570a0c4d0b4cdfceb1b88d6b7#diff-37e769f4709c1e78c076a5949bbcead74e969725bfd89c7c4ba6d6f229a411e6R36

https://github.com/provectus/kafka-ui/pull/4427

https://securitylab.github.com/advisories/GHSL-2023-229_GHSL-2023-230_kafka-ui/

https://avd.aliyun.com/detail?id=AVD-2024-32030