PT-2025-2395 · Apache+1 · Apache Cassandra+1

Paulo Motta

Publicado

2024-02-20

Atualizado

2026-05-18

CVE-2024-27137

CVSS v3.1

5.9

Média

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache Cassandra de 4.0.2 a 5.0.2

Descrição: Um atacante local, sem acesso ao processo ou aos arquivos de configuração do Apache Cassandra, pode manipular o registro RMI para realizar um ataque man-in-the-middle. Isso permite ao atacante capturar nomes de usuário e senhas utilizados para acessar a interface JMX. O atacante pode então usar essas credenciais para acessar a interface JMX e realizar operações não autorizadas.

Recomendações: Versões do Apache Cassandra de 4.0.2 a 5.0.2: Atualize para uma versão igual ou posterior a 4.0.15, 4.1.8 ou 5.0.3 para corrigir o problema.

Correção

Improper Authentication

Deserialization of Untrusted Data

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-502CWE-668

Identificadores relacionados

AZL-56430

AZL-56446

BDU:2025-01150

BIT-CASSANDRA-2024-27137

CLEANSTART-2026-CI66802

CLEANSTART-2026-DD05788

CLEANSTART-2026-KM27583

CLEANSTART-2026-SP91806

CLEANSTART-2026-VH41554

CVE-2024-27137

GHSA-RGFX-7P65-3FF4

Produtos afetados

Apache Cassandra

Red Os

PT-2025-2395 · Apache+1 · Apache Cassandra+1

CVE-2024-27137

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 263