Vulnerabilidad en Apache Hadoop (CVE-2024-23454)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
25/09/2024
Última modificación:
10/07/2025
Descripción
RunJar.run() de Apache Hadoop no establece permisos para el directorio temporal de forma predeterminada. Si en este archivo se encuentran datos confidenciales, todos los demás usuarios locales podrán ver el contenido. Esto se debe a que, en sistemas tipo Unix, el directorio temporal del sistema se comparte entre todos los usuarios locales. Por lo tanto, los archivos escritos en este directorio, sin establecer explícitamente los permisos posix correctos, pueden ser visibles para todos los demás usuarios locales.
Impacto
Puntuación base 3.x
6.20
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:hadoop:*:*:*:*:*:*:*:* | 3.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página