CVE-2026-33557
Apache Kafka: Missing JWT token validation in OAUTHBEARER authentication
En resumen
La autenticación OAuth predeterminada de Apache Kafka no verifica correctamente los tokens JWT, permitiendo a los atacantes falsificar tokens y acceder al broker con cualquier nombre de usuario.
Detalle técnico
El DefaultJwtValidator en el mecanismo OAUTHBEARER de Apache Kafka no valida firmas, emisor ni audiencia de los tokens JWT. Un atacante no autenticado puede crear tokens JWT arbitrarios con identidades falsificadas y autenticarse como cualquier usuario sin verificación criptográfica. Esto elude los controles de acceso en las versiones afectadas (4.1.0, 4.1.1).
Resumen generado y traducido por IA a partir de la descripción oficial.
A possible security vulnerability has been identified in Apache Kafka.
By default, the broker property `sasl.oauthbearer.jwt.validator.class` is set to `org.apache.kafka.common.security.oauthbearer.DefaultJwtValidator`. It accepts any JWT token without validating its signature, issuer, or audience. An attacker can generate a JWT token from any issuer with the `preferred_username` set to any user, and the broker will accept it.
We advise the Kafka users using kafka v4.1.0 or v4.1.1 to set the config `sasl.oauthbearer.jwt.validator.class` to `org.apache.kafka.common.security.oauthbearer.BrokerJwtValidator` explicitly to avoid this vulnerability. Since Kafka v4.1.2 and v4.2.0 and later, the issue is fixed and will correctly validate the JWT token.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Productos afectados
Apache Software Foundation · Apache Kafka¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →