Araştırmacılar, Apache Cassandra’da uzaktan kod yürütme (RCE) elde etmek için kötüye kullanılabilecek bir zafiyet için uyardı. CVE-2021-44521 (CVSS puanı: 8.4) olarak izlenen güvenlik açığı, kullanıcı tanımlı işlevler ( UDF’ler ) için yapılandırmanın etkinleştirildiği ve bir saldırganın etkili bir şekilde Nashorn JavaScript motorundan yararlanmasına, sandbox dan kaçmasına ve untrusted kodun yürütülmesini sağlıyor.
Cassandra.yaml yapılandırma dosyası aşağıdaki tanımları içerdiğinde Cassandra dağıtımlarının CVE-2021-44521’e karşı savunmasız kaldığı keşedildi.
- enable_user_defined_functions: true
- enable_scripted_user_defined_functions: true
- enable_user_defined_functions_threads: false
Apache Cassandra kullanıcılarının, 3.0.26 , 3.11.12 ve 4.0.2 sürümlerine yükseltmeleri öneriliyor.
Kaynak: thehackernews.com