Katalog CVE

CVE-2026-10143

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 - wyżej niż 39% wszystkich znanych CVE

Streszczenie

Biblioteka kafka-python przed wersją 2.3.2 zawiera podatność na atak typu „odmowa usługi” w obsłudze uwierzytelniania SCRAM. Złośliwy broker lub atakujący typu man-in-the-middle może dostarczyć bardzo dużą liczbę iteracji, co powoduje zablokowanie pętli zdarzeń klienta.

Ocena ryzyka

Atakujący może zatrzymać działanie producentów, konsumentów i operacji administracyjnych, prowadząc do wykluczenia grupy konsumentów i ciągłych błędów ponownego łączenia. Skutkuje to przerwaniem działania aplikacji korzystających z Kafka.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę kafka-python do wersji 2.3.2 lub nowszej, która zawiera walidację liczby iteracji SCRAM.

Oryginalny opis (angielski, źródło NVD)

kafka-python prior to 2.3.2 contains a denial-of-service vulnerability in SCRAM authentication handling that allows a malicious or machine-in-the-middle broker to freeze the client event loop by supplying an excessively large iteration count. In scram.py, ScramClient.process_server_first_message() passes the broker-controlled SCRAM iteration count directly to hashlib.pbkdf2_hmac() without validation, blocking producer sends, consumer polls, admin operations, and heartbeats, which can cause consumer group eviction and repeated reconnect failures.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS