关键漏洞信息 漏洞描述 漏洞名称: Arbitrary File Read in Google BigQuery Sink connector CVE ID: CVE-2026-23529 GHSA ID: GHSA-3mg8-2g53-5gj4 发布时间: 4天前 病情: 漏洞严重性为高(CVSS v3 基本分数为 7.7/10) 漏洞影响版本: < 2.11.0 修复版本: 2.11.0 漏洞详情 包名: com.wepay.kafka.connect.bigquery 问题描述: Aiven的Google BigQuery Kafka Connect Sink连接器在连接BigQuery服务时需要Google Cloud凭证配置。用户可以提供包含凭证的JSON文件,如果服务没有对这些凭证配置进行验证就传递给认证库,攻击者可以通过提供包含恶意凭证配置的文件路径或URL来利用此漏洞,导致任意文件读取或SSRF攻击。 漏洞影响 可能后果: - 服务密钥可能被用来冒充Kafka broker; - 如果使用独立的Kafka Connect实例,可能导致对文件系统的未授权访问。 修复措施 建议升级: 用户应升级到2.11.0版本。 变通方法: 无。 参考资料 GCP-2025-005 使用外部来源的凭证配置时的安全性需求 CVSSv3 基本指标 攻击向量: Network 攻击复杂度: Low 所需权限: Low 用户交互: None 作用范围: Changed 机密性影响: High 完整性影响: None 可用性影响: None