概要
provectus が 開発 する kafka-ui の バージョン 0.7.2 以前 に おいて、 コード インジェクション の 脆弱性 が 存在 します。 この 脆弱性 は /api/smartfilters/testexecutions エンドポイント の validateAccess 関数 に 存在 し、 攻撃者 が 細工 した リクエスト を 送信 する こと で、 サーバー 上 で 任意 の コード を 実行 できる 可能性 が あります。 リモート から の 攻撃 が 可能 であり、 Apache Kafka クラスター の 管理 ツール として 広く 利用 されて いる kafka-ui を 経由 した サーバー の 完全 な 侵害 に つながる おそれ が あります。 CWE-74(インジェクション) および CWE-94(コード インジェクション) に 分類 される 問題 です。
kafka-ui は、 Apache Kafka クラスター を Web ブラウザ から 管理 する ため の オープンソース ツール であり、 エンタープライズ 環境 で 広く 採用 されて います。 SmartFilters 機能 は メッセージ の フィルタリング を 動的 に 実行 する ため の 機能 です が、 validateAccess 関数 に おいて ユーザー 入力 が 適切 に 検証 されず に コード として 評価 される ため、 攻撃者 は 任意 の Java コード を サーバー 上 で 実行 する こと が できます。 ベンダー へ の 報告 に 対する 応答 が ない 状態 で あり、 修正 バージョン の 提供 時期 は 不明 です。 Kafka は メッセージ キュー として 金融、 EC、 ログ 基盤 など 多様 な 業界 で 利用 されて おり、 kafka-ui の 侵害 は Kafka クラスター 全体 の メッセージ データ へ の 不正 アクセス に つながる 可能性 が ある ため、 影響 範囲 は 非常 に 広い と 考えられます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-74, CWE-94 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| kafka-ui | provectus | 0.7.2 以前 |
修正 バージョン と 回避策
- 修正: 現時点 で 修正 バージョン は 公開 されて いません。 ベンダー から の 応答 が ない 状態 です。 プロジェクト の GitHub リポジトリ を 監視 し、 修正 が 公開 された 場合 は 速やかに 適用 して ください
- 回避策: kafka-ui の SmartFilters 機能 を 無効化 する か、
/api/smartfilters/testexecutionsエンドポイント へ の アクセス を リバース プロキシ で 遮断 する こと を 推奨 します - 補足: kafka-ui は 認証 機能 を 備えて いる ため、 必ず 認証 を 有効 に し、 信頼 できる ネットワーク から のみ アクセス を 許可 して ください。 コード インジェクション は 任意 コード 実行 に 直結 する ため、 Kafka クラスター 全体 の セキュリティ に 影響 します
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。