Katalog CVE

CVE-2026-10142

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

Kafka-python w wersjach wcześniejszych niż 2.3.2 zawiera podatność typu denial-of-service w parserze protokołu, która pozwala złośliwemu brokerowi lub atakującemu typu man-in-the-middle na wyczerpanie pamięci lub zablokowanie połączeń poprzez wysłanie spreparowanej wartości długości ramki 4-bajtowej bez walidacji granic.

Ocena ryzyka

Atakujący mogą spowodować alokację pamięci na poziomie wielu gigabajtów lub nieobsługiwany błąd ValueError, co prowadzi do zablokowania połączeń i zatrzymania działania konsumentów, aż do ponownego uruchomienia.

Rekomendacja

Zaleca się aktualizację do wersji kafka-python 2.3.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów monitorowania połączeń.

Oryginalny opis (angielski, źródło NVD)

kafka-python prior to 2.3.2 contains a denial-of-service vulnerability in the protocol parser that allows a malicious broker or machine-in-the-middle attacker to exhaust memory or hang connections by sending a crafted 4-byte frame length value without bounds validation. Attackers can send a specially crafted frame length through the receive_bytes() function to trigger either a multi-gigabyte memory allocation or an uncaught ValueError that leaves the connection in a broken state, causing requests to hang and consumers to stop heartbeating until restart.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS