CVE-2026-33558: Apache Kafka 信息泄露漏洞 漏洞概述 Apache Kafka 的 组件在启用 日志级别时,会将完整的请求和响应信息输出到日志中。由于默认日志级别为 ,若被手动调整为 ,敏感信息(如认证凭证、令牌等)将通过日志暴露。 影响范围 Apache Kafka: 0.11.0 至 3.9.1 Apache Kafka Clients: 0.11.0 至 3.9.1 Apache Kafka (org.apache.kafka:kafka-clients): 0.11.0 至 3.9.1 Apache Kafka Clients (org.apache.kafka:kafka-clients): 4.0.0 受影响的 API 请求/响应包括: AlterConfigsRequest AlterUserScramCredentialsRequest ExpireDelegationTokenRequest IncrementalAlterConfigsRequest RenewDelegationTokenRequest SaslAuthenticateRequest createDelegationTokenResponse describeDelegationTokenResponse SaslAuthenticateResponse 修复方案 建议将 Apache Kafka 升级至 v3.9.2、v4.0.1 或更高版本 以修复此漏洞。 参考链接 Apache Kafka 官网 CVE 记录 发现者 Alyssa Huang (@ah_@confluent.io) Luke Chen (@sh_@gmail.com)