Vulnerabilidad en Hazelcast y Hazelcast Jet (CVE-2022-36437)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/12/2022
Última modificación:
11/04/2025
Descripción
El controlador de conexión en Hazelcast y Hazelcast Jet permite que un atacante remoto no autenticado acceda y manipule datos en el clúster con la identidad de otra conexión ya autenticada. Las versiones de Hazelcast afectadas son la 4.0.6, 4.1.9, 4.2.5, 5.0.3 y 5.1.2. Las versiones de Hazelcast Jet afectadas son hasta la 4.5.3.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:-:*:*:* | 3.12.13 (excluyendo) | |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:enterprise:*:*:* | 3.12.13 (excluyendo) | |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:-:*:*:* | 4.0.0 (incluyendo) | 4.1.10 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:enterprise:*:*:* | 4.0.0 (incluyendo) | 4.1.10 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:-:*:*:* | 4.2.0 (incluyendo) | 4.2.6 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:enterprise:*:*:* | 4.2.0 (incluyendo) | 4.2.6 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:-:*:*:* | 5.0.0 (incluyendo) | 5.0.4 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:enterprise:*:*:* | 5.0.0 (incluyendo) | 5.0.4 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:-:*:*:* | 5.1.0 (incluyendo) | 5.1.3 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast:*:*:*:*:enterprise:*:*:* | 5.1.0 (incluyendo) | 5.1.3 (excluyendo) |
| cpe:2.3:a:hazelcast:hazelcast-jet:*:*:*:*:-:*:*:* | 4.5.4 (excluyendo) | |
| cpe:2.3:a:hazelcast:hazelcast-jet:*:*:*:*:enterprise:*:*:* | 4.5.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página