Spring Kafka 反序列化漏洞

漏洞描述

Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录(record)指 Kafka 消息中的一条记录。

受影响版本中默认未对记录配置 ErrorHandlingDeserializer，当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true(默认未false)，并且允许不受信任的源发布到 Kafka 主题中时，攻击者可将恶意 payload 注入到 Kafka 主题中，当反序列化记录头时远程执行任意代码。

漏洞名称	Spring Kafka 反序列化漏洞
漏洞类型	反序列化
发现时间	2023-08-24
漏洞影响广度	小
MPS编号	MPS-fed8-ocuv
CVE编号	CVE-2023-34040
CNVD编号	-

影响范围

org.springframework.kafka:spring-kafka@[2.8.1, 2.9.11)

org.springframework.kafka:spring-kafka@[3.0.0, 3.0.10)

修复方案

为记录的键或值配置 ErrorHandlingDeserializer； 不使用 ErrorHandlingDeserializers 时，勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true

官方已发布补丁：https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b

升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-fed8-ocuv

https://nvd.nist.gov/vuln/detail/CVE-2023-34040

https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b

https://spring.io/security/cve-2023-34040

https://github.com/spring-projects/spring-kafka/pull/2756

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc