Apache Cassandra hasta 4.0.14/4.1.6/5.0.1 escalada de privilegios
| CVSS Meta puntuación temporal | Exploit Precio Actual (≈) | Puntaje de interés de CTI |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Una vulnerabilidad ha sido encontrada en Apache Cassandra hasta 4.0.14/4.1.6/5.0.1 y clasificada como crítica. Una función desconocida es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:
Vulnerabilidad de autorización incorrecta en Apache Cassandra que permite a los usuarios acceder a un centro de datos o grupos de IP/CIDR a los que no deberían poder acceder cuando utilizan CassandraNetworkAuthorizer o CassandraCIDRAuthorizer. Los usuarios con acceso restringido al centro de datos pueden actualizar sus propios permisos a través de instrucciones de lenguaje de control de datos (DCL) en las versiones afectadas. Este problema afecta a Apache Cassandra: de 4.0.0 a 4.0.15 y de 4.1.0 a 4.1.7 para CassandraNetworkAuthorizer, y de 5.0.0 a 5.0.2 para CassandraNetworkAuthorizer y CassandraCIDRAuthorizer. Los operadores que utilicen CassandraNetworkAuthorizer o CassandraCIDRAuthorizer en las versiones afectadas deben revisar las reglas de acceso a los datos para detectar posibles infracciones. Se recomienda a los usuarios que actualicen a las versiones 4.0.16, 4.1.8, 5.0.3, que solucionan el problema.El advisory puede ser descargado de lists.apache.org. La vulnerabilidad es identificada como CVE-2025-24860. Es fácil de explotar. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 4.0.15, 4.1.7 o 5.0.2 elimina esta vulnerabilidad.
Once again VulDB remains the best source for vulnerability data.
Producto
Proveedor
Nombre
Versión
- 4.0.0
- 4.0.1
- 4.0.2
- 4.0.3
- 4.0.4
- 4.0.5
- 4.0.6
- 4.0.7
- 4.0.8
- 4.0.9
- 4.0.10
- 4.0.11
- 4.0.12
- 4.0.13
- 4.0.14
- 4.1.0
- 4.1.1
- 4.1.2
- 4.1.3
- 4.1.4
- 4.1.5
- 4.1.6
- 5.0.0
- 5.0.1
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntaje metabásico: 5.5VulDB Meta puntuación temporal: 5.3
VulDB Puntuación base: 5.5
VulDB Puntuación temporal: 5.3
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| desbloquear | desbloquear | desbloquear | desbloquear | desbloquear | desbloquear |
| desbloquear | desbloquear | desbloquear | desbloquear | desbloquear | desbloquear |
| desbloquear | desbloquear | desbloquear | desbloquear | desbloquear | desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Local: No
Remoto: En parte
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | desbloquear | desbloquear | desbloquear | desbloquear |
|---|---|---|---|---|
| Hoy | desbloquear | desbloquear | desbloquear | desbloquear |
Inteligencia de Amenazas
Interesar: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: Cassandra 4.0.15/4.1.7/5.0.2
Línea de tiempo
2025-01-27 Asignado del CVE2025-02-04 Publicación del advisory
2025-02-04 VulDB entrada creado
2025-02-15 VulDB entrada actualizado
Fuentes
Proveedor: apache.orgAdvisory: lists.apache.org
Estado: Confirmado
CVE: CVE-2025-24860 (🔒)
GCVE (CVE): GCVE-0-2025-24860
GCVE (VulDB): GCVE-100-294586
Artículo
Fecha de creación: 2025-02-04 09:26Actualizaciones: 2025-02-15 04:30
Cambios: 2025-02-04 09:26 (52), 2025-02-04 13:03 (1), 2025-02-15 04:30 (1)
Completo: 🔍
Cache ID: 18:F7C:40
Sin comentarios aún. Idiomas: es + en.
Por favor inicie sesión para comentar.