kafka-python 拒绝服务漏洞 漏洞概述 kafka-python 2.3.2 之前的版本在协议解析器中存在拒绝服务漏洞,允许恶意代理或中间人攻击者通过发送没有边界验证的精心制作的 4 字节帧长度值来耗尽内存或挂起连接。攻击者可以通过 函数发送精心制作的帧长度,触发多吉字节内存分配或导致连接处于损坏状态,导致请求挂起,消费者停止心跳,直到重启。 影响范围 kafka-python < 2.3.2 修复方案 升级到 kafka-python 2.3.2 或更高版本。 参考链接 CVE-2026-10142 Pull Request Pull Request Patch Commit 贡献者 Katriel Moses 其他信息 严重性: 高 日期: 2026年6月10日 CVSS 评分: 8.7 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CWE: CWE-789 Memory Allocation with Excessive Size Value