Vulnerabilidad en Apache Kafka (CVE-2022-34917)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/09/2022
Última modificación:
29/05/2025
Descripción
Se ha identificado una vulnerabilidad de seguridad en Apache Kafka. Afecta a todas las versiones desde la 2.8.0. La vulnerabilidad permite a clientes maliciosos no autenticados asignar grandes cantidades de memoria en los brokers. Esto puede conllevar a que los brokers sufran una OutOfMemoryException y causar una denegación de servicio. Ejemplos de escenarios: - Cluster Kafka sin autenticación: Cualquier cliente capaz de establecer una conexión de red con un broker puede desencadenar el problema. - Clúster Kafka con autenticación SASL: Cualquier cliente capaz de establecer una conexión de red con un broker, sin necesidad de credenciales SASL válidas, puede desencadenar el problema. - Clúster Kafka con autenticación TLS: Sólo los clientes capaces de autenticarse con éxito por medio de TLS pueden desencadenar el problema. REcomendamos a usuarios actualizar las instalaciones de Kafka a una de las versiones 3.2.3, 3.1.2, 3.0.2, 2.8.2
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 2.8.2 (excluyendo) |
| cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.2 (excluyendo) |
| cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:* | 3.1.0 (incluyendo) | 3.1.2 (excluyendo) |
| cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:* | 3.2.0 (incluyendo) | 3.2.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página