Apache Kafka Connect存在遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號(hào)：CVE-2023-25194，漏洞威脅等級(jí)：高危。該漏洞是由于在攻擊者可以控制Apache Kafka Connect客戶端的情況下，可通過SASL JAAS配置和基于SASL的安全協(xié)議在其上創(chuàng)建或修改連接器，觸發(fā)JNDI反序列化，最終可以在服務(wù)器執(zhí)行任意代碼。

Apache Kafka是一個(gè)開源的分布式流媒體平臺(tái)，常用于開發(fā)實(shí)時(shí)、事件驅(qū)動(dòng)的應(yīng)用程序，如高性能數(shù)據(jù)管道、流處理、數(shù)據(jù)集成等。

（一）漏洞影響范圍：

目前受影響的Apache Kafka版本：

2.3.0 ≤ Apache Kafka ≤ 3.3.2

（二）官方修復(fù)建議：

當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下：

https://kafka.apache.org/