UI for Apache Kafka 后台 jmx jndi 代码执行漏洞（CVE-2024-32030）

[foyaga]

• 漏洞编号: CVE-2024-32030
• 危害等级: 高危
• 漏洞标签:
• 披露日期: 2024-06-20
• 信息来源: https://avd.aliyun.com/detail?id=AVD-2024-32030
• 推送原因: 漏洞创建

漏洞描述：

Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能，它还提供了通过连接到其JMX端口监视Kafka brokers性能的能力。CVE-2024-32030 中，由于默认情况下Kafka UI未开启认证授权，攻击者可构造恶意请求利用后台功能执行任意代码，控制服务器。官方已发布安全更新，修复该漏洞。

参考链接：

1. provectus/kafka-ui@83b5a60#diff-37e769f4709c1e78c076a5949bbcead74e969725bfd89c7c4ba6d6f229a411e6R36
2. added commons-collections4 library instead of commons-collections provectus/kafka-ui#4427
3. https://securitylab.github.com/advisories/GHSL-2023-229_GHSL-2023-230_kafka-ui/