CVE-2017-12610
https://notcve.org/view.php?id=CVE-2017-12610
In Apache Kafka 0.10.0.0 to 0.10.2.1 and 0.11.0.0 to 0.11.0.1, authenticated Kafka clients may use impersonation via a manually crafted protocol message with SASL/PLAIN or SASL/SCRAM authentication when using the built-in PLAIN or SCRAM server implementations in Apache Kafka. En Apache Kafka desde la versión 0.10.0.0 hasta 0.10.2.1 y desde la 0.11.0.0 hasta la 0.11.0.1, los clientes autenticados de Kafka pueden suplantar identidades mediante un mensaje de protocolo manipulado con autenticación SASL/PLAIN o SASL/SCRAM cuando se utilizan las implementaciones incorporadas del servidor PLAIN o SCRAM en Apache Kafka. • http://www.securityfocus.com/bid/104899 https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442%40%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/b6157be1a09df332294213bd21e90dcf9fe4c1810193be54620e4210%40%3Cusers.kafka.apache.org%3E https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc%40%3Cissues.drill.apache.org%3E https://www.oracle.com/security-alerts • CWE-287: Improper Authentication •
CVE-2018-1288 – kafka: Users can perform Broker actions via crafted fetch requests, interfering with data replication and causing data lass
https://notcve.org/view.php?id=CVE-2018-1288
In Apache Kafka 0.9.0.0 to 0.9.0.1, 0.10.0.0 to 0.10.2.1, 0.11.0.0 to 0.11.0.2, and 1.0.0, authenticated Kafka users may perform action reserved for the Broker via a manually created fetch request interfering with data replication, resulting in data loss. En Apache Kafka desde la versión 0.9.0.0.0 hasta la 0.9.0.1, desde la 0.10.0.0 hasta la 0.10.2.1, desde la 0.11.0.0.0 hasta la 0.11.0.2 y en la versión 1.0.0.0, los usuarios autenticados de Kafka pueden realizar acciones reservadas para el Broker a través de una petición fetch creada manualmente que interfiere con la replicación de datos, lo que provoca la pérdida de datos. • http://www.securityfocus.com/bid/104900 https://access.redhat.com/errata/RHSA-2018:3768 https://lists.apache.org/thread.html/29f61337323f48c47d4b41d74b9e452bd60e65d0e5103af9a6bb2fef%40%3Cusers.kafka.apache.org%3E https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442%40%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/d1581fb6464c9bec8a72575c01f5097d68e2fbb230aff24622622a58%40%3Ccommits.kafka.apac • CWE-287: Improper Authentication •