CVE-2025-24860 olarak tanımlanan yeni bir güvenlik açığı, yaygın olarak kullanılan bir dağıtılmış veritabanı sistemi olan Apache Cassandra’da açıklanmıştır.
Kusur, kullanıcıların belirli bir yetkilendirici yapılandırmalarını kullanırken veri merkezlerine veya ağ bölgelerine yetkisiz erişim kazanmalarına izin verebilecek bir yetkilendirme baypası içerir.
Ayrıca, sınırlı erişimi olan kullanıcılar izinlerini DCL ifadeleri aracılığıyla artırabilir. Operatörlerin ihlaller için erişim kurallarını gözden geçirmeleri ve sorunu çözmek için 4.0.16, 4.1.8 veya 5.0.3 sürümlerine yükseltmeleri önerilir.
Güvenlik açığı, Apache Cassandra’nın aşağıdaki sürümlerini etkiler:
- 4.0.0 ila 4.0.15
- 4.1.0 ila 4.1.7
- 5.0.0 ila 5.0.2
Sorun, yanlış bir yetkilendirme kırılganlığından kaynaklanmak CassandraNetworkAuthorizer Ve CassandraCIDRAuthorizer. Bu bileşenler, kullanıcı izinlerine göre belirli veri merkezlerine veya IP/CIDR gruplarına erişimi kısıtlamak için tasarlanmıştır.
Bununla birlikte, bu kusur nedeniyle, sınırlı erişimi olan kullanıcılar, veri kontrol dili (DCL) ifadeleri aracılığıyla kendi izinlerini güncelleyerek bu kontrolleri potansiyel olarak atlayabilir.
Bu güvenlik açığı:
CassandraNetworkAuthorizer4.0.0–4.0.15 ve 4.1.0–4.1.7 sürümlerinde- İkisi birden
CassandraNetworkAuthorizerVeCassandraCIDRAuthorizer5.0.0–5.0.2 sürümlerinde
Etkilenen otoriterleri kullanan operatörlere, bu kusurun neden olduğu olası ihlaller için veri erişim kurallarını gözden geçirmeleri istenir. Riski azaltmak için kullanıcılar, Apache Cassandra’nın aşağıdaki yamalı sürümlerine yükseltilmelidir, 4.0.16, 4.1.8, 5.0.3.
Bu güncellemeler güvenlik açığını ele alır ve uygun yetkilendirme kontrollerini geri yükler.
Sorun Stefan Miklosovic tarafından bildirildi ve Apache Cassandra geliştirme ekibi tarafından ele alındı.
Daha fazla bilgi için resmi Apache Cassandra web sitesini ziyaret edin veya cve.org adresindeki CVE kaydına danışın.
Bu keşif, üretim ortamlarında Apache Cassandra gibi dağıtılmış veritabanı sistemlerinin bütünlüğünü sağlamak için düzenli güvenlik denetimlerinin ve hızlı güncellemelerin öneminin altını çizmektedir.
Upgrade Your Cybersecurity Skills With 100+ Premium Cyber Security Courses Online - Enroll Here