漏洞类型 | 反序列化 | 发现时间 | 2023-08-24 | 漏洞等级 | 中危 |
MPS编号 | MPS-fed8-ocuv | CVE编号 | CVE-2023-34040 | 漏洞影响广度 | 小 |
漏洞危害
OSCS 描述 |
Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一条记录。 受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。< |