CVE-2026-10143
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 - wyżej niż 39% wszystkich znanych CVE
Streszczenie
Biblioteka kafka-python przed wersją 2.3.2 zawiera podatność na atak typu „odmowa usługi” w obsłudze uwierzytelniania SCRAM. Złośliwy broker lub atakujący typu man-in-the-middle może dostarczyć bardzo dużą liczbę iteracji, co powoduje zablokowanie pętli zdarzeń klienta.
Ocena ryzyka
Atakujący może zatrzymać działanie producentów, konsumentów i operacji administracyjnych, prowadząc do wykluczenia grupy konsumentów i ciągłych błędów ponownego łączenia. Skutkuje to przerwaniem działania aplikacji korzystających z Kafka.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę kafka-python do wersji 2.3.2 lub nowszej, która zawiera walidację liczby iteracji SCRAM.
Oryginalny opis (angielski, źródło NVD)
kafka-python prior to 2.3.2 contains a denial-of-service vulnerability in SCRAM authentication handling that allows a malicious or machine-in-the-middle broker to freeze the client event loop by supplying an excessively large iteration count. In scram.py, ScramClient.process_server_first_message() passes the broker-controlled SCRAM iteration count directly to hashlib.pbkdf2_hmac() without validation, blocking producer sends, consumer polls, admin operations, and heartbeats, which can cause consumer group eviction and repeated reconnect failures.

