Kafka UI — это веб-интерфейс с открытым исходным кодом для управления Apache Kafka. API Kafka UI позволяет пользователям подключаться к различным брокерам Kafka, указывая их сетевой адрес и порт. В качестве отдельной функции он также предоставляет возможность отслеживать производительность брокеров Kafka, подключаясь к их портам JMX. JMX основан на протоколе RMI, поэтому он по своей сути восприимчив к атакам десериализации. Потенциальный злоумышленник может использовать эту функцию, подключив серверную часть Kafka UI к своему собственному вредоносному брокеру. Эта уязвимость затрагивает развертывания, в которых происходит одно из следующего: 1. В настройках установлено свойство dynamic.config.enabled. Оно не включено по умолчанию, но рекомендуется включать его во многих руководствах для Kafka UI, включая собственный README.md. ИЛИ 2. Злоумышленник имеет доступ к кластеру Kafka, который подключается к Kafka UI. В этом сценарии злоумышленник может использовать эту уязвимость для расширения своего доступа и выполнения кода в Kafka UI. Вместо настройки законного порта JMX злоумышленник может создать прослушиватель RMI, который возвращает вредоносный сериализованный объект для любого вызова RMI. В худшем случае это может привести к удаленному выполнению кода, поскольку Kafka UI имеет необходимые цепочки гаджетов в своем classpath. Эта проблема может привести к удаленному выполнению кода после аутентификации. Это особенно опасно, поскольку в Kafka-UI по умолчанию не включена аутентификация. Эта проблема была устранена в версии 0.7.2. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет. Эти проблемы были обнаружены и сообщены лабораторией безопасности GitHub, и также отслеживаются как GHSL-2023-230.