CVE-2020-13946

Опубликовано: 01 сент. 2020

Источник: nvd

CVSS3: 5.9

CVSS2: 4.3

EPSS Низкий

Описание

In Apache Cassandra, all versions prior to 2.1.22, 2.2.18, 3.0.22, 3.11.8 and 4.0-beta2, it is possible for a local attacker without access to the Apache Cassandra process or configuration files to manipulate the RMI registry to perform a man-in-the-middle attack and capture user names and passwords used to access the JMX interface. The attacker can then use these credentials to access the JMX interface and perform unauthorised operations. Users should also be aware of CVE-2019-2684, a JRE vulnerability that enables this issue to be exploited remotely.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*

Версия до 2.1.22 (исключая)

cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*

Версия от 2.2.0 (включая) до 2.2.18 (исключая)

cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*

Версия от 3.0.0 (включая) до 3.0.22 (исключая)

cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*

Версия от 3.11.0 (включая) до 3.11.8 (исключая)

cpe:2.3:a:apache:cassandra:4.0.0:alpha1:*:*:*:*:*:*

cpe:2.3:a:apache:cassandra:4.0.0:alpha2:*:*:*:*:*:*

cpe:2.3:a:apache:cassandra:4.0.0:alpha3:*:*:*:*:*:*

cpe:2.3:a:apache:cassandra:4.0.0:alpha4:*:*:*:*:*:*

cpe:2.3:a:apache:cassandra:4.0.0:beta1:*:*:*:*:*:*

Конфигурация 2

cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:*

EPSS

Процентиль: 64%

0.00472

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-668

Связанные уязвимости

CVE-2020-13946

CVSS3: 5.9

redhat

больше 5 лет назад

CVE-2020-13946

CVSS3: 5.9

debian

больше 5 лет назад

In Apache Cassandra, all versions prior to 2.1.22, 2.2.18, 3.0.22, 3.1 ...

GHSA-24ww-mc5x-xc43

CVSS3: 5.9

github

больше 4 лет назад

Man-in-the-middle attack in Apache Cassandra

EPSS

Процентиль: 64%

0.00472

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-668