描述

在 Spring for Apache Kafka 3.0.9 及更早版本，以及 2.9.10 及更早版本中，存在潜在的反序列化攻击向量，但仅当应用了不寻常的配置时才会发生。攻击者必须在反序列化异常记录标头中构造一个恶意序列化对象。

具体来说，当所有以下条件都为真时，应用程序容易受到攻击

用户没有为记录的键和/或值配置 ErrorHandlingDeserializer
用户显式地将容器属性 checkDeserExWhenKeyNull 和/或 checkDeserExWhenValueNull 容器属性设置为 true。
用户允许不受信任的源发布到 Kafka 主题

默认情况下，这些属性为 false，并且容器仅在配置了 ErrorHandlingDeserializer 时才尝试反序列化标头。ErrorHandlingDeserializer 通过在处理记录之前删除任何此类恶意标头来防止漏洞。

受影响的 Spring 产品和版本

Spring for Apache Kafka
- 2.8.1 到 2.9.10
- 3.0.0 到 3.0.9

缓解措施

当不使用 ErrorHandlingDeserializers 时，不要设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull，或者使用 ErrorHandlingDeserializers
2.8.x 和 2.9.x 用户应升级到 2.9.11
3.0.x 用户应升级到 3.0.10

已修复此问题的版本包括

Spring for Apache Kafka
- 3.0.10
- 2.9.11

Spring Boot 3.0.10（或更高版本）依赖项管理将自动使用 Spring for Apache Kafka 3.0.10（或更高版本）。Spring Boot 2.7.x 用户应将 Boot 的 Spring for Apache Kafka 2.8.x 依赖项管理版本覆盖为 2.9.11（或更高版本）。