Apache Zookeeper安全漏洞CVE-2025-58457

Apache ZooKeeper是由Apache软件基金会开发的开源分布式协调服务，该系统主要用于解决分布式系统中的进程同步与数据一致性问题。

一、基本情况

Apache ZooKeeper 是一个分布式的协调服务，通过高可靠性的协作平台，可用来管理和协调大规模分布式系统中的各种任务和配置信息。

Apache ZooKeeper提供一个高可靠性的协作平台，用于协调多个节点间的数据同步和一致性及故障恢复，降低分布式应用开发的复杂性。

栋科技漏洞库关注到Apache Zookeeper受影响版本中存在一个安全漏洞，漏洞现已被追踪为CVE-2025-58457，漏洞CVSS 3.1评分为4.3。

二、漏洞分析

CVE-2025-58457漏洞是ZooKeeper AdminServer 存在权限校验不充分的问题，授权用户可在缺乏足够权限的情况下执行快照和恢复命令。

具体来说， 该漏洞源于权限控制逻辑不严谨，即使用户无对应权限仍可触发操作，攻击者可利用这一漏洞运行`snapshot`和`restore`命令。

该漏洞允许具备部分权限的用户执行敏感的快照和恢复操作， 可能导致数据泄露、数据篡改或服务中断。

漏洞影响的是Apache ZooKeeper的3.9.0至3.9.4之前的版本，建议用户升级到修复此问题的版本3.9.4。

可以通过禁用这两个命令（通过admin.snapshot.enabled和admin.restore.enabled），

可以禁用整个AdminServer界面（通过admin.enableServer），或者确保根ACL不提供开放权限来减轻这个问题。

请注意，ZooKeeper的ACL不是递归的，因此除了来自递归监视的通知外，这不会影响子节点的操作。

三、影响范围

3.9.0 <= Apache ZooKeeper < 3.9.4

四、修复建议

Apache ZooKeeper >= 3.9.4

五、参考链接

管理员已设置登录后刷新可查看