anchore_overrides
Org.apache.cassandra
Уязвимости
6
Эксплуатируемые
0
Критический
0
Высокий
3
Топ продуктов
Топ уязвимостей
CVE-2026-27314Привилегия эскалации в Apache Cassandra 5.0 в среде mTLS с использованием MutualTlsAuthenticator позволяет пользователю, позволяющими CREATE только ассоциировать свою собственную личность сертификата с произвольной ролью,
включая роль суперпользователя, и аутентифицировать как эту роль через ADD IDENTITY.
Пользователям рекомендуется обновиться до версии 5.0.7+, что устраняет эту проблему.
CVE-2025-26467В Apache Cassandra обнаружена уязвимость, связанная с определением привилегий с небезопасными действиями. Пользователь с разрешением MODIFY на все KEYSPACES может повысить привилегии до суперпользователя в целевом кластере Cassandra посредством небезопасных действий над системным ресурсом. Операторам, предоставляющим разрешение MODIFY на все keyspaces в затронутых версиях, следует проверить правила доступа к данным на предмет потенциальных нарушений. Проблема затрагивает Apache Cassandra 4.0.16. Пользователям рекомендуется обновиться до версии 4.0.17. Источники: [1] https://lists.apache.org/thread/xxj36rr4d6mzyqpld05dn8b9951hfpz7
Источники:
- [1] https://lists.apache.org/thread/xxj36rr4d6mzyqpld05dn8b9951hfpz7
CVE-2025-23015Уязвимость настройки привилегий с опасными действиями в Apache Cassandra. Пользователь с разрешением MODIFY на ВСЕХ КЛЮЧЕВЫХ ПРОСТРАНСТВАХ может повысить права до суперпользователя в выбранном кластере Cassandra через небезопасные действия системного ресурса. Операторы, предоставляющие разрешение MODIFY данных на всех ключевых пространствах на затронутых версиях, должны пересмотреть правила доступа к данным на предмет потенциальных нарушений.
Эта проблема затрагивает Apache Cassandra до 3.0.30, 3.11.17, 4.0.15, 4.1.7, 5.0.2.
Пользователям рекомендовано обновиться до версий 3.0.31, 3.11.18, 4.0.16, 4.1.8, 5.0.3, что исправляет эту проблему.
CVE-2026-32588Аутентифицированный DoS по CQL в Apache Cassandra 4.0, 4.1, 5.0 позволяет аутентифицированному пользователю поднимать задержку запросов с помощью повторных изменений пароля.
Пользователям рекомендуется обновиться до версии 4.0.20, 4.1.11, 5.0.7, что устраняет эту проблему.
CVE-2025-24860Неправильная уязвимость авторизации в Apache Cassandra позволяет пользователям получать доступ к дата-центрам или IP/CIDR группам, к которым они не должны иметь доступа, при использовании CassandraNetworkAuthorizer или CassandraCIDRAuthorizer.
Пользователи с ограниченным доступом к дата-центрам могут обновить свои разрешения с помощью операторного языка управления данными (DCL) на затронутых версиях.
Эта проблема затрагивает Apache Cassandra: с 4.0.0 по 4.0.15 и с 4.1.0 по 4.1.7 для CassandraNetworkAuthorizer, и с 5.0.0 по 5.0.2 для обеих CassandraNetworkAuthorizer и CassandraCIDRAuthorizer.
Операторы, использующие CassandraNetworkAuthorizer или CassandraCIDRAuthorizer на затронутых версиях, должны проверить правила доступа к данным на предмет потенциальных нарушений. Рекомендуется пользователям обновиться до версий 4.0.16, 4.1.8, 5.0.3, которые исправляют проблему.
CVE-2024-27137В Apache Cassandra локальный злоумышленник, не имеющий доступа к процессу Apache Cassandra или конфигурационным файлам, может манипулировать реестром RMI, чтобы провести атаку типа "человек посередине" и захватить имена пользователей и пароли, используемые для доступа к интерфейсу JMX. Затем злоумышленник может использовать эти учетные данные, чтобы получить доступ к интерфейсу JMX и выполнять несанкционированные операции. Это та же самая уязвимость, за которую был выпущен CVE-2020-13946, но параметр Java был изменен в JDK10. Эта проблема затрагивает Apache Cassandra с 4.0.2 по 5.0.2 при работе с Java 11. Операторам рекомендуется обновиться до версии, равной или позже 4.0.15, 4.1.8 или 5.0.3, которые исправляют эту проблему.