Vulnerabilidad en Apache Cassandra (CVE-2024-27137)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
04/02/2025
Última modificación:
14/07/2025
Descripción
En Apache Cassandra, es posible que un atacante local sin acceso al proceso de Apache Cassandra o a los archivos de configuración manipule el registro RMI para realizar un ataque de intermediario y capturar los nombres de usuario y las contraseñas utilizadas para acceder a la interfaz JMX. El atacante puede utilizar estas credenciales para acceder a la interfaz JMX y realizar operaciones no autorizadas. Esta es la misma vulnerabilidad para la que se emitió CVE-2020-13946, pero la opción Java se cambió en JDK10. Este problema afecta a Apache Cassandra desde la versión 4.0.2 hasta la 5.0.2 que ejecuta Java 11. Se recomienda a los operadores que actualicen a una versión igual o posterior a la 4.0.15, 4.1.8 o 5.0.3, que soluciona el problema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:* | 4.0.2 (incluyendo) | 4.0.15 (excluyendo) |
| cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:* | 4.1.0 (incluyendo) | 4.1.8 (excluyendo) |
| cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:* | 5.0.0 (excluyendo) | 5.0.3 (excluyendo) |
| cpe:2.3:a:apache:cassandra:5.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:cassandra:5.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:cassandra:5.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:cassandra:5.0.0:rc2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página