【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

最新推荐文章于 2024-08-07 08:15:00 发布
最新推荐文章于 2024-08-07 08:15:00 发布
阅读量852 收藏 1
点赞数 2
分类专栏: 漏洞情报订阅 文章标签: spring kafka java 安全 漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/132496954
版权
本文详细介绍了Spring Kafka的中危反序列化漏洞CVE-2023-34040,包括其危害、影响范围、OSCS和Spring Security Advisories平台的处置方案,以及如何进行排查。墨知社区提供了全面的软件供应链安全知识,包括漏洞分析、行业研究和最佳实践,旨在提升软件供应链安全性。
摘要由CSDN通过智能技术生成
https://zhi.oscs1024.com/
zhi.oscs1024.com​​​​​
漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危
MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度

漏洞危害

OSCS 描述
Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。
受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。<
最低0.47元/天 解锁文章
开源生态安全OSCS
关注
专栏目录
Apache Kafka 反序列化漏洞分析
JasaLee的博客
08-12 4728
Apache Kafaka 反序列化漏洞分析
Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040
日拱一卒无有尽,功不唐捐终入海
08-30 1689
背景:公司项目扫描到 Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞 CVE-2023-20873Spring KafkaSpring 框架提供的一个库,它提供了使用 Apache Kafka 的便捷方式。Apache Kafka 是一个开源的流处理平台,主要用于构建实时数据流管道和应用。Spring Kafka 通过提供一种抽象和封装的方法,使开发者能够更容易地在 Spring 框架中使用 Apache Kafka
CVE-2023-33440~文件上传【春秋云境靶场渗透】
最新发布
weixin_67832625的博客
08-07 395
本文对春秋云境的CVE-2023-33440这个文件上传的漏洞进行了详细的介绍,希望大家可以见解,有什么问题可以随时联系作者
CVE-2023-34040 Kafka 反序列化RCE
YJ_12340的博客
11-06 605
Spring KafkaSpring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 Kafka 消息中的一条记录。
Kafka反序列化RCE漏洞CVE-2023-34040
蚁景网安学院
11-03 683
Spring KafkaSpring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 Kafka 消息中的一条记录。这一个漏洞所影响的组件其实是 Spring-Kafka,严格意义上来说并不算是 kafka漏洞,应该算是 Spring漏洞
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1248
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
一个CVE漏洞预警知识库
weixin_46211944的博客
09-11 392
CVE-2023-20858:VMware Carbon Black App Control 远程代码执行漏洞通告。CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告。CVE-2023-25194:Apache Kafka Connect 远程代码执行漏洞通告。CVE-2023-25610:FortiOS & FortiProxy 远程代码执行漏洞通告。CVE-2021-42756 CVE-2022-39952:Fortinet 多个漏洞通告。
〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测
K8哥哥
12-18 4702
title: 〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测 comments: true toc: true categories: exp tags: Log4j2 abbrlink: log4shell date: 2021-12-16 19:24:00 img: https://img-blog.csdnimg.cn/20210117163103552.jpg 漏洞简介 Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Ap.
Apache Kafka 拒绝服务漏洞
OSCS开源安全社区
09-21 1625
1)没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。2)具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。3)具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Apache Kafka是一个高度可扩展的分布式消息队列。
Apache Kafka 漏洞CVE-2023-25194】说明及解决建议
热门推荐
EdwardWang_的博客
02-10 1万+
Apache Kafka 漏洞CVE-2023-25194】说明 及 解决建议
Kafka】log4j2漏洞不影响集群安全
扬_帆_起_航
12-01 471
虽然Kafka不会受此事件影响,但是Kafka客户端日志输出需要用户单独引用配置,所以大家还是注意一下是否使用受影响版本的log4j2.x进行日志打印。
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
xsharkrasp的博客
06-09 1603
Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL 协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行。
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
追光者的博客
03-12 520
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
Goby 漏洞发布|Apache Druid Kafka Connect 远程代码执行漏洞CVE-2024-25194)_druid kafka漏洞
2301_82243100的博客
04-15 488
它设计用于处理大规模的实时数据,并提供快速的交互式查询和分析。Apache Druid 使用了存在漏洞Kafka Connect,攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为恶意类,进而可导致JNDI注入漏洞,可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现
qq_53003652的博客
07-14 1052
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali:192.168.126.128。发送数据包,回到靶机,进入漏洞目录下。
漏洞预警|Apache Kafka 拒绝服务漏洞
LJQClqjc的博客
09-22 888
棱镜七彩安全预警
CVE-2023-3519
07-27
很抱歉,我无法找到关于CVE-2023-3519的相关信息。请确认该CVE编号是否正确,并提供更多的背景信息,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* [struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】](https://blog.csdn.net/JEFFYU328/article/details/115907882)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析](https://blog.csdn.net/qq_38154820/article/details/129731587)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值