【漏洞预警】Spring Kafka 反序列化漏洞

漏洞描述：

Spring Kafka 是 Spring Framework 生态系统中的一个模块，用于简化在 Spring 应用程序中集成 Apache Kafka 的过程，记录(record)指 Kafka 消息中的一条记录。
受影响版本中默认未对记录配置 ErrorHandlingDeserializer，当用户将容器属性checkDeserExWhenKeyNull或checkDeserExWhenValueNull 设置为 true(默认未false)，并且允许不受信任的源发布到 Kafka 主题中时，攻击者可将恶意 payload 注入到 Kafka 主题中，当反序列化记录头时远程执行任意代码。

影响范围：
org.springframework.kafka:spring-kafka[2.8.1, 2.9.11)
org.springframework.kafka:spring-kafka[3.0.0, 3.0.10)

修复方案：
官方已发布补丁：https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b
升级org.springframework.kafka:spring-kafka到 2.9.11、3.0.10 或更高版本为记录的键或值配置ErrorHandlingDeserializer；不使用 ErrorHandlingDeserializers时，勿设置容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为 true

参考链接：

https://github.com/spring-projects/spring-kafka/commit/ddd1a96561e70599d8332b0907ec00df930d324b

https://spring.io/security/cve-2023-34040

https://github.com/spring-projects/spring-kafka/pull/2756