{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Apache Cassandra ist ein verteiltes, NoSQL-Datenbanksystem", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein Angreifer kann mehrere Schwachstellen in Apache Cassandra ausnutzen, um Informationen offenzulegen, oder seine Rechte zu erhöhen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Linux\n- Sonstiges\n- UNIX\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2025-0258 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0258.json" }, { "category" : "self", "summary" : "WID-SEC-2025-0258 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0258" }, { "category" : "external", "summary" : "Apache Mailing List vom 2025-02-03", "url" : "https://lists.apache.org/thread/jmks4msbgkl65ssg69x728sv1m0hwz3s" }, { "category" : "external", "summary" : "Apache Mailing List vom 2025-02-03", "url" : "https://lists.apache.org/thread/jsk87d9yv8r204mgqpz1qxtp5wcrpysm" }, { "category" : "external", "summary" : "Apache Mailing List vom 2025-02-03", "url" : "https://lists.apache.org/thread/yjo5on4tf7s1r9qklc4byrz30b8vkm2d" } ], "source_lang" : "en-US", "title" : "Apache Cassandra: Mehrere Schwachstellen.", "tracking" : { "current_release_date" : "2025-02-04T23:00:00.000+00:00", "generator" : { "date" : "2025-02-05T09:05:05.144+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.10" } }, "id" : "WID-SEC-W-2025-0258", "initial_release_date" : "2025-02-03T23:00:00.000+00:00", "revision_history" : [ { "date" : "2025-02-03T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2025-02-04T23:00:00.000+00:00", "number" : "2", "summary" : "Plattformauswahl angepasst" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "<5.0.3", "product" : { "name" : "Apache Cassandra <5.0.3", "product_id" : "T040041" } }, { "category" : "product_version", "name" : "5.0.3", "product" : { "name" : "Apache Cassandra 5.0.3", "product_id" : "T040041-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:apache:cassandra:5.0.3" } } }, { "category" : "product_version_range", "name" : "<3.0.31", "product" : { "name" : "Apache Cassandra <3.0.31", "product_id" : "T040739" } }, { "category" : "product_version", "name" : "3.0.31", "product" : { "name" : "Apache Cassandra 3.0.31", "product_id" : "T040739-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:apache:cassandra:3.0.31" } } }, { "category" : "product_version_range", "name" : "<3.11.18", "product" : { "name" : "Apache Cassandra <3.11.18", "product_id" : "T040740" } }, { "category" : "product_version", "name" : "3.11.18", "product" : { "name" : "Apache Cassandra 3.11.18", "product_id" : "T040740-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:apache:cassandra:3.11.18" } } }, { "category" : "product_version_range", "name" : "<4.0.16", "product" : { "name" : "Apache Cassandra <4.0.16", "product_id" : "T040741" } }, { "category" : "product_version", "name" : "4.0.16", "product" : { "name" : "Apache Cassandra 4.0.16", "product_id" : "T040741-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:apache:cassandra:4.0.16" } } }, { "category" : "product_version_range", "name" : "<4.1.8", "product" : { "name" : "Apache Cassandra <4.1.8", "product_id" : "T040742" } }, { "category" : "product_version", "name" : "4.1.8", "product" : { "name" : "Apache Cassandra 4.1.8", "product_id" : "T040742-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:apache:cassandra:4.1.8" } } }, { "category" : "product_version_range", "name" : "<4.0.15", "product" : { "name" : "Apache Cassandra <4.0.15", "product_id" : "T040743" } }, { "category" : "product_version", "name" : "4.0.15", "product" : { "name" : "Apache Cassandra 4.0.15", "product_id" : "T040743-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:apache:cassandra:4.0.15" } } } ], "category" : "product_name", "name" : "Cassandra" } ], "category" : "vendor", "name" : "Apache" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-27137", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Apache Cassandra. Sie erlaubt es, Dateien im Verzeichnis \"RMI\" zu manipulieren und Credentials auszulesen. Ein lokaler Angreifer kann somit eine \"Man in the Middle\"-Attacke durchführen und wichtige Benutzerinformationen wie Benutzernamen und Passwörter ausspähen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "product_status" : { "known_affected" : [ "T040041", "T040743", "T040742" ] }, "release_date" : "2025-02-03T23:00:00.000+00:00", "title" : "CVE-2024-27137" }, { "cve" : "CVE-2025-23015", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Apache Cassandra. Es ist möglich durch unsichere Aktionen an einer Systemressource die Privilegien zum Superuser ausbauen. Ein Angreifer mit der Berechtigung MODIFY ON ALL KEYSPACES kann diese Schwachstelle ausnutzen, um seine Privilegien zum Superuser zu erweitern." } ], "product_status" : { "known_affected" : [ "T040041", "T040739", "T040742", "T040741", "T040740" ] }, "release_date" : "2025-02-03T23:00:00.000+00:00", "title" : "CVE-2025-23015" }, { "cve" : "CVE-2025-24860", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Apache Cassandra. Sie besteht darin, dass der \"CassandraNetworkAuthorizer\" oer der \"CassandraCIDRAuthorizer\" Benutzer nicht korrekt authentifiziert. Ein entfernter, Authentisierter Angreifer kann mittels \"DataControlLanguage\" Anweisungen ausführen, um seine Privilegien zu erhöhen." } ], "product_status" : { "known_affected" : [ "T040041", "T040742", "T040741" ] }, "release_date" : "2025-02-03T23:00:00.000+00:00", "title" : "CVE-2025-24860" } ] }