{"id":10404,"date":"2025-02-07T17:02:32","date_gmt":"2025-02-07T23:02:32","guid":{"rendered":"https:\/?post_type=publicacion&#038;p=10404"},"modified":"2025-03-18T13:47:32","modified_gmt":"2025-03-18T18:47:32","slug":"vulnerabilidades-criticas-en-apache-cassandra","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/vulnerabilidades-criticas-en-apache-cassandra\/","title":{"rendered":"Alerta 2025-13 Vulnerabilidades Cr\u00edticas en Apache Cassandra"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<p>Las vulnerabilidades afectan a las siguientes versiones de Apache Cassandra:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Versiones 3.0.0 hasta 5.0.2<\/strong><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>El equipo de Apache ha identificado una serie de vulnerabilidades cr\u00edticas en su popular base de datos NoSQL de c\u00f3digo abierto, Cassandra, la cual est\u00e1 dise\u00f1ada para manejar grandes vol\u00famenes de datos en m\u00faltiples servidores, ofreciendo alta disponibilidad y escalabilidad sin comprometer el rendimiento.<\/p>\n\n\n\n<p>Estas vulnerabilidades podr\u00edan exponer datos confidenciales a accesos y manipulaciones no autorizadas.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-24860:<\/strong> Esta vulnerabilidad, la mas alarmante de las tres, permite a atacantes eludir los controles de autorizaci\u00f3n de red en los componentes CassandraNetworkAuthorizer y CassandraCIDRAuthorizer. como resultado, un atacante puede obtener acceso no autorizado a diferentes regiones de la red, cruzando los l\u00edmites de los centros de datos. Adem\u00e1s, usuarios con acceso restringido pueden escalar sus permisos mediante sentencias de Data Control Language (DCL) en las versiones afectadas. Esta vulnerabilidad impacta las versiones 4.0.0 a 4.0.15, 4.1.0 a 4.1.7 y 5.0.0 a 5.0.2 de Cassandra.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-23015:<\/strong> Esta revela una vulnerabilidad de escalada de privilegios. Un usuario con permisos \u00abMODIFY\u00bb en todos los espacios de clave (keyspaces) puede realizar acciones inseguras para obtener privilegios de superusuario dentro de un cl\u00faster de Cassandra. Esto significa que un actor malicioso con acceso limitado puede potencialmente tomar control completo de la base de datos. Esta vulnerabilidad afecta a las versiones de Cassandra desde la 3.0.0 hasta la 5.0.2.<\/li>\n\n\n\n<li><strong>CVE-2024-27137:<\/strong> Esta vulnerabilidad reintroduce un problema conocido relacionado con la deserializaci\u00f3n sin restricciones de credenciales de autenticaci\u00f3n JMX. Permite a un atacante local realizar un ataque de intermediario (Man-in-the-Middle), capturando nombres de usuario y contrase\u00f1as utilizados para acceder a la interfaz JMX. Con estas credenciales robadas, los atacantes pueden realizar operaciones no autorizadas. Esta falla afecta a las versiones de Cassandra 4.0.2 a 5.0.2 que se ejecutan en Java 11.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n<\/h2>\n\n\n\n<p>Se recomienda encarecidamente a las organizaciones que dependen de Apache Cassandra que tomen medidas inmediatas para mitigar estos riesgos. La acci\u00f3n principal es actualizar a las versiones parcheadas m\u00e1s recientes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>3.0.31<\/strong><\/li>\n\n\n\n<li><strong>3.11.18<\/strong><\/li>\n\n\n\n<li><strong>4.0.16<\/strong><\/li>\n\n\n\n<li><strong>4.1.8<\/strong><\/li>\n\n\n\n<li><strong>5.0.3<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Para m\u00e1s informaci\u00f3n, consulte el <a href=\"https:\/\/cassandra.apache.org\/_\/download.html\">sitio oficial de Apache Cassandra<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/securityonline.info\/security-flaws-discovered-in-apache-cassandra-unauthorized-access-privilege-escalation-and-jmx-credential-theft\/?&amp;web_view=true\">Security Flaws Discovered in Apache Cassandra: Unauthorized Access, Privilege Escalation, and JMX Credential Theft<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/vuldb.com\/es\/?id.294586\">CVE-2025-24860 Apache Cassandra escalada de privilegios<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2025-23015\/\">CVE-2025-23015 : Privilege Defined With Unsafe Actions vulnerability in Apache Cassandra. An user<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.cvedetails.com\/cve\/CVE-2024-27137\/\">CVE-2024-27137 : In Apache Cassandra it is possible for a local attacker without access to the A<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":10405,"template":"","class_list":["post-10404","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":true,"pdf":10408,"numero_de_boletin":"13","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":2,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10404\/revisions"}],"predecessor-version":[{"id":10432,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10404\/revisions\/10432"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10405"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}