کشف آسیب‌پذیری در درایور نقطه‌ی دسترسی

رابط کاربری Kafbat یک رابط وب جهت مدیریت کلاسترهای Apache Kafka است.
در نسخه‌ی 1.0.0، یک آسیب‌پذیری در زمینه غیرا‌یمن بودن فرآیند deserialize کردن داده‌ها وجود دارد که به هر کاربر بدون احراز هویت اجازه می‌دهد تا کد دلخواهی را روی سرور اجرا کند.
رابط کاربری Kafka-UI امکان پیکربندی پویا برای کلاسترهای Kafka را فراهم می‌کند. مهاجم می‌تواند با افزودن یک کلاستر مخرب به رابط کاربری و تنظیم نوع متریک‌ها به JMX، سرور را مجبور به اتصال به یک سرور JMX مخرب کند.
این مشکل در نسخه‌ی 1.1.0 برطرف شده است.

محصولات آسیب‌پذیر

• نسخه‌ی 1.0.0

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخه‌ی 1.1.0
• محدود کردن دسترسی به رابط کاربری Kafka-UI از طریق احراز هویت و فایروال
• نظارت بر ترافیک شبکه برای شناسایی اتصالات غیرمجاز به سرورهای JMX

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-49127

[2]https://github.com/kafbat/kafka-ui/security/advisories/GHSA-g3mf-c374-fgh2