Apache Kafka et CVE-2023-25194 : pourquoi un parametre JAAS peut devenir critique

Une faille qui rappelle que la configuration fait partie du risque

Sur sa page officielle de CVE, Apache Kafka decrit CVE-2023-25194 comme une possible attaque RCE ou denial of service via la configuration SASL JAAS JndiLoginModule dans l API Kafka Connect. L exploitation suppose l acces a un worker Kafka Connect et la capacite de creer ou modifier des connecteurs avec une configuration cliente arbitraire.

Pourquoi c est un cas important

Le point cle est que le danger vient d un composant d integration et de sa configuration, pas seulement du coeur du broker. C est une bonne illustration du risque moderne des plateformes de donnees : l extension, le connecteur ou l integration peuvent devenir plus sensibles que le moteur lui-meme.

Ce que cela dit de Kafka

Kafka est souvent decrit comme un bus de donnees robuste, presque infrastructural. C est vrai. Mais plus une plateforme devient centrale, plus son perimetre effectif depasse le broker : Connect, schemas, auth, plugins, et composants d administration entrent dans la zone critique.

La lecon pour 2026

Les equipes Kafka doivent verifier non seulement la version, mais aussi qui peut modifier les connecteurs, quelles options JAAS sont autorisees, et si des composants annexes exposent des surfaces peu revues.

Notre lecture

CVE-2023-25194 merite sa place car il montre que sur les technologies de messaging, la frontiere entre configuration et execution de code peut devenir tres mince. Le vrai sujet n est pas Kafka est-il dangereux. Le vrai sujet est : qui peut piloter les mecanismes d integration autour de Kafka, et avec quelles contraintes.