CVE-2025-27819

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-27819
In CVE-2023-25194, we announced the RCE/Denial of service attack via SASL JAAS JndiLoginModule configuration in Kafka Connect API. But not only Kafka Connect API is vulnerable to this attack, the Apache Kafka brokers also have this vulnerability. To exploit this vulnerability, the attacker needs to be able to connect to the Kafka cluster and have the AlterConfigs permission on the cluster resource. Since Apache Kafka 3.4.0, we have added a system property ("-Dorg.apache.kafka.disallowed.login.modules") to disable the problematic login modules usage in SASL JAAS configuration. Also by default "com.sun.security.auth.module.JndiLoginModule" is disabled in Apache Kafka 3.4.0, and "com.sun.security.auth.module.JndiLoginModule,com.sun.security.auth.module.LdapLoginModule" is disabled by default in in Apache Kafka 3.9.1/4.0.0

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://kafka.apache.org/cve-list
Configurations

No configuration.

History

10 Jun 2025, 16:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 7.5
Summary
  • (es) En CVE-2023-25194, anunciamos un ataque de RCE/denegación de servicio mediante la configuración JndiLoginModule de SASL JAAS en la API de Kafka Connect. Sin embargo, no solo la API de Kafka Connect es vulnerable a este ataque, sino que los brokers de Apache Kafka también presentan esta vulnerabilidad. Para explotar esta vulnerabilidad, el atacante debe poder conectarse al clúster de Kafka y tener el permiso AlterConfigs en el recurso del clúster. A partir de Apache Kafka 3.4.0, hemos añadido una propiedad del sistema ("-Dorg.apache.kafka.disallowed.login.modules") para deshabilitar el uso problemático de los módulos de inicio de sesión en la configuración de SASL JAAS. También, de forma predeterminada, "com.sun.security.auth.module.JndiLoginModule" está deshabilitado en Apache Kafka 3.4.0, y "com.sun.security.auth.module.JndiLoginModule,com.sun.security.auth.module.LdapLoginModule" está deshabilitado de forma predeterminada en Apache Kafka 3.9.1/4.0.0

10 Jun 2025, 08:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-06-10 08:15

Updated : 2025-06-10 16:15

NVD link : CVE-2025-27819

Mitre link : CVE-2025-27819

CVE.ORG link : CVE-2025-27819

JSON object : View

Products Affected

No product.

CWE
CWE-502

Deserialization of Untrusted Data