Vulnerabilidad en Apache Hadoop (CVE-2016-5393)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
29/11/2016
Última modificación:
12/04/2025
Descripción
En Apache Hadoop 2.6.x en versiones anteriores a 2.6.5 y 2.7.x en versiones anteriores a 2.7.3, un usuario remoto que pueda autentificarse con el HDFS NameNode podría posiblemente ejecutar comandos arbitrarios con los mismos privilegios que el servicio HDFS.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:hadoop:2.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.7.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.7.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.6.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.6.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.6.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:hadoop:2.6.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://mail-archives.apache.org/mod_mbox/hadoop-general/201611.mbox/%3CCAA0W1bTbUmUUSF1rjRpX-2DvWutcrPt7TJSWUcSLg1F0gyHG1Q%40mail.gmail.com%3E
- http://www.securityfocus.com/bid/94574
- http://mail-archives.apache.org/mod_mbox/hadoop-general/201611.mbox/%3CCAA0W1bTbUmUUSF1rjRpX-2DvWutcrPt7TJSWUcSLg1F0gyHG1Q%40mail.gmail.com%3E
- http://www.securityfocus.com/bid/94574