Vulnerabilidad en Apache Kafka (CVE-2025-27817)

Se ha identificado una posible vulnerabilidad de lectura de archivos arbitrarios y SSRF en el cliente Apache Kafka. Los clientes Apache Kafka aceptan datos de configuración para establecer la conexión SASL/OAUTHBEARER con los brókeres, incluyendo "sasl.oauthbearer.token.endpoint.url" y "sasl.oauthbearer.jwks.endpoint.url". Apache Kafka permite a los clientes leer un archivo arbitrario y devolver el contenido en el registro de errores, o enviar solicitudes a una ubicación no deseada. En aplicaciones donde las configuraciones de los clientes Apache Kafka pueden ser especificadas por un tercero no confiable, los atacantes pueden usar las configuraciones "sasl.oauthbearer.token.endpoint.url" y "sasl.oauthbearer.jwks.endpoint.url" para leer contenido arbitrario del disco y las variables de entorno, o realizar solicitudes a una ubicación no deseada. En particular, esta falla puede utilizarse en Apache Kafka Connect para escalar desde el acceso a la API REST al acceso al sistema de archivos, entorno o URL, lo cual puede ser indeseable en ciertos entornos, incluidos los productos SaaS. A partir de Apache Kafka 3.9.1/4.0.0, hemos añadido una propiedad del sistema ("-Dorg.apache.kafka.sasl.oauthbearer.allowed.urls") para establecer las URL permitidas en la configuración SASL JAAS. En la versión 3.9.1, acepta todas las URL de forma predeterminada para garantizar la compatibilidad con versiones anteriores. Sin embargo, a partir de la versión 4.0.0, el valor predeterminado es una lista vacía y los usuarios deben configurar las URL permitidas explícitamente.