Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2025-26467

Опубликовано: 25 авг. 2025
Источник: nvd
CVSS3: 8.8
EPSS Низкий

Описание

Privilege Defined With Unsafe Actions vulnerability in Apache Cassandra. An user with MODIFY permission ON ALL KEYSPACES can escalate privileges to superuser within a targeted Cassandra cluster via unsafe actions to a system resource. Operators granting data MODIFY permission on all keyspaces on affected versions should review data access rules for potential breaches.

This issue affects Apache Cassandra 3.0.30, 3.11.17, 4.0.16, 4.1.7, 5.0.2, but this advisory is only for 4.0.16 because the fix to CVE-2025-23015 was incorrectly applied to 4.0.16, so that version is still affected.

Users in the 4.0 series are recommended to upgrade to version 4.0.17 which fixes the issue. Users from 3.0, 3.11, 4.1 and 5.0 series should follow recommendation from CVE-2025-23015.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*
Версия от 3.0.0 (включая) до 3.0.31 (исключая)
cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*
Версия от 3.11.0 (включая) до 3.11.18 (исключая)
cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*
Версия от 4.0.0 (включая) до 4.0.17 (исключая)
cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*
Версия от 4.1.0 (включая) до 4.1.8 (исключая)
cpe:2.3:a:apache:cassandra:*:*:*:*:*:*:*:*
Версия от 5.0.0 (включая) до 5.0.3 (исключая)

EPSS

Процентиль: 8%
0.00034
Низкий

8.8 High

CVSS3

Дефекты

CWE-267

Связанные уязвимости

redhat логотип

CVE-2025-26467

CVSS3: 5.5
redhat
21 день назад

Privilege Defined With Unsafe Actions vulnerability in Apache Cassandra. An user with MODIFY permission ON ALL KEYSPACES can escalate privileges to superuser within a targeted Cassandra cluster via unsafe actions to a system resource. Operators granting data MODIFY permission on all keyspaces on affected versions should review data access rules for potential breaches. This issue affects Apache Cassandra 3.0.30, 3.11.17, 4.0.16, 4.1.7, 5.0.2, but this advisory is only for 4.0.16 because the fix to CVE-2025-23015 was incorrectly applied to 4.0.16, so that version is still affected. Users in the 4.0 series are recommended to upgrade to version 4.0.17 which fixes the issue. Users from 3.0, 3.11, 4.1 and 5.0 series should follow recommendation from CVE-2025-23015.

debian логотип

CVE-2025-26467

CVSS3: 8.8
debian
21 день назад

Privilege Defined With Unsafe Actions vulnerability in Apache Cassandr ...

github логотип

GHSA-5c4f-pxmx-xcm4

CVSS3: 8.8
github
21 день назад

Apache Cassandra: User with MODIFY permission on ALL KEYSPACES can escalate privileges to superuser via unsafe actions (4.0.16 only)

fstec логотип

BDU:2025-06618

CVSS3: 5.5
fstec
7 месяцев назад

Уязвимость распределённой системы управления базами данных Apache Cassandra, связанная с неправильной обработка привилегий, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 8%
0.00034
Низкий

8.8 High

CVSS3

Дефекты

CWE-267
Уязвимость CVE-2025-26467