Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Hazelcast (CVE-2023-45859)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/02/2024
Última modificación:
13/05/2025

Descripción

En Hazelcast hasta 4.1.10, 4.2 hasta 4.2.8, 5.0 hasta 5.0.5, 5.1 hasta 5.1.7, 5.2 hasta 5.2.4 y 5.3 hasta 5.3.2, algunas operaciones de cliente no verifican los permisos correctamente, lo que permite a los usuarios autenticados acceder a los datos almacenados en el clúster.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:*:*:*:* 4.1.10 (incluyendo)
cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:*:*:*:* 4.2.0 (incluyendo) 4.2.8 (incluyendo)
cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:*:*:*:* 5.0.0 (incluyendo) 5.0.5 (incluyendo)
cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:*:*:*:* 5.1.0 (incluyendo) 5.1.7 (incluyendo)
cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:*:*:*:* 5.2.0 (incluyendo) 5.2.5 (excluyendo)
cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:*:*:*:* 5.3.0 (incluyendo) 5.3.5 (excluyendo)