漏洞概述 Kafka-ui 存在未授权远程代码执行漏洞。 端点在处理 参数时,未进行身份验证、角色校验或功能开关检查,直接执行用户传入的任意 Groovy 代码,导致攻击者可在目标服务器上执行任意操作系统命令。 影响范围 全版本 Kafka-ui(默认配置或 配置下) 攻击者无需任何凭据即可利用 可导致:读取敏感信息、数据外泄、内网横向移动、持久化后门 修复方案 在 添加 调用 在 移除 中的 硬编码,增加 校验 在 对 Groovy 脚本执行环境实施沙箱隔离 POC 代码 验证响应: