CVE-2026-41731
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 - wyżej niż 38% wszystkich znanych CVE
Streszczenie
Podatność w Spring for Apache Kafka pozwala na deserializację dowolnych typów JDK poprzez spreparowane nagłówki wiadomości. JsonKafkaHeaderMapper i przestarzały DefaultKafkaHeaderMapper sprawdzają zaufane pakiety tylko po prefiksie, co umożliwia obejście zabezpieczeń.
Ocena ryzyka
Atakujący może zdalnie wykonać kod na konsumencie Kafka, co prowadzi do pełnego przejęcia systemu lub wycieku danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring for Apache Kafka do wersji 4.0.6, 3.3.16, 3.2.14, 2.9.14 lub 2.8.12 w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
JsonKafkaHeaderMapper and the deprecated DefaultKafkaHeaderMapper matched type headers against trusted packages using a prefix check, meaning that trusting any package implicitly trusted all of its subpackages. Combined with Jackson's default bean deserialization, a producer could supply crafted header values that caused the consumer to deserialize arbitrary JDK types. Affected versions: Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.

