CVE-2026-10142
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
Kafka-python w wersjach wcześniejszych niż 2.3.2 zawiera podatność typu denial-of-service w parserze protokołu, która pozwala złośliwemu brokerowi lub atakującemu typu man-in-the-middle na wyczerpanie pamięci lub zablokowanie połączeń poprzez wysłanie spreparowanej wartości długości ramki 4-bajtowej bez walidacji granic.
Ocena ryzyka
Atakujący mogą spowodować alokację pamięci na poziomie wielu gigabajtów lub nieobsługiwany błąd ValueError, co prowadzi do zablokowania połączeń i zatrzymania działania konsumentów, aż do ponownego uruchomienia.
Rekomendacja
Zaleca się aktualizację do wersji kafka-python 2.3.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów monitorowania połączeń.
Oryginalny opis (angielski, źródło NVD)
kafka-python prior to 2.3.2 contains a denial-of-service vulnerability in the protocol parser that allows a malicious broker or machine-in-the-middle attacker to exhaust memory or hang connections by sending a crafted 4-byte frame length value without bounds validation. Attackers can send a specially crafted frame length through the receive_bytes() function to trigger either a multi-gigabyte memory allocation or an uncaught ValueError that leaves the connection in a broken state, causing requests to hang and consumers to stop heartbeating until restart.

