关键漏洞信息 漏洞描述 类型: 不安全的反序列化通过恶意Serde配置(导致RCE/DoS) 位置: 仪表板 -> “配置新集群”界面。 复现步骤 1. 在“配置新集群”界面,导航到Serde配置部分。 2. 配置一个新集群并提交一个PUT请求到 ,包含一个恶意的serde元素在clusters数组JSON负载中。示例负载片段: 3. 指向一个攻击者控制的JAR文件,其中包含一个恶意类。 4. 提交后,应用程序尝试从指定路径加载JAR文件,反序列化它,并实例化提供的 。 影响 远程代码执行(RCE): 如果恶意类的静态初始化器、构造函数或任何自动调用的方法(如 方法)包含可执行代码,它将在应用程序的上下文中运行,导致以Kafka-UI进程的权限进行完全远程代码执行。 环境 Kafka-UI版本: v0.7.2 部署方式: Docker容器 屏幕截图 显示了一个恶意类 的实现,该类在静态初始化块中执行命令 。 目录下显示了创建的 文件,证明了RCE的成功。