点击上方蓝字关注我们吧~
Apache Cassandra 中披露了一个新的安全漏洞,标识为 CVE-2025-24860。
该漏洞涉及授权绕过,可能允许用户在使用特定授权方配置时未经授权访问数据中心或网络区域。
具有受限访问权限的用户可以通过 DCL 语句升级其权限。建议查看访问规则以发现违规行为,并升级到修补后的版本 4.0.16、4.1.8 或 5.0.3 以解决此问题。
该漏洞影响以下版本的 Apache Cassandra:
-
4.0.0 到 4.0.15
-
4.1.0 到 4.1.7
-
5.0.0 到 5.0.2
此问题是由 和 中的错误授权漏洞引起的。这些组件旨在根据用户权限限制对特定数据中心或 IP/CIDR 组的访问。
此漏洞会影响:
-
CassandraNetworkAuthorizer在版本 4.0.0–4.0.15 和 4.1.0–4.1.7 中 -
和 版本 5.0.0–5.0.2
CassandraNetworkAuthorizerCassandraCIDRAuthorizer
为了降低风险,用户应升级到以下修补版本的 Apache Cassandra:4.0.16、4.1.8、5.0.3。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):Apache Cassandra 漏洞允许攻击者远程访问数据中心
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论