Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Hadoop (CVE-2024-23454)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
25/09/2024
Última modificación:
10/07/2025

Descripción

RunJar.run() de Apache Hadoop no establece permisos para el directorio temporal de forma predeterminada. Si en este archivo se encuentran datos confidenciales, todos los demás usuarios locales podrán ver el contenido. Esto se debe a que, en sistemas tipo Unix, el directorio temporal del sistema se comparte entre todos los usuarios locales. Por lo tanto, los archivos escritos en este directorio, sin establecer explícitamente los permisos posix correctos, pueden ser visibles para todos los demás usuarios locales.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:hadoop:*:*:*:*:*:*:*:* 3.4.0 (excluyendo)