Informazioni sul CVE-2024-27137

Apache Cassandra: unrestricted deserialization of JMX authentication credentials

CWE ID: N/A

Base Score (CVSS): N/A

CVE: CVE-2024-27137

Descrizione: In Apache Cassandra, a local attacker without access to the Cassandra process or configuration files can manipulate the RMI registry to perform a man-in-the-middle attack and capture user names and passwords used to access the JMX interface. The attacker can then use these credentials to access the JMX interface and perform unauthorized operations. This is the same vulnerability that CVE-2020-13946 was issued for, but the Java option was changed in JDK10. This issue affects Apache Cassandra from version 4.0.2 through 5.0.2 running Java 11. Operators are recommended to upgrade to a release equal to or later than 4.0.15, 4.1.8, or 5.0.3 which fixes the issue.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://lists.apache.org/thread/jsk87d9yv8r204mgqpz1qxtp5wcrpysm

Prodotti interessati

Apache Software Foundation – Apache Cassandra

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Cassandra
Anno: 2024
CWE:
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)