Katalog CVE

CVE-2026-47846

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

Obrazy kontenerów Bitnami Cassandra są podatne na lukę związaną z zachowaniem domyślnego superużytkownika. W przypadku skonfigurowania niestandardowego konta administratora za pomocą zmiennej środowiskowej CASSANDRA_USER, skrypt inicjalizacji kontenera tworzy nowe konto superużytkownika, ale nie usuwa wbudowanego konta cassandra w określonych scenariuszach.

Ocena ryzyka

Pozostawienie domyślnego konta cassandra:cassandra aktywnego stwarza niezamierzony dostęp do systemu, co może prowadzić do nieautoryzowanego dostępu i potencjalnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację obrazów kontenerów do wersji 4.0.20-photon-5-r7, 4.1.11-photon-5-r7 lub 5.0.8-photon-5-r4 / 5.0.8-debian-12-r3, aby usunąć domyślne konto superużytkownika.

Oryginalny opis (angielski, źródło NVD)

Bitnami Cassandra container images are affected by a retained default superuser vulnerability. When a custom administrator account is configured via the CASSANDRA_USER environment variable, the container initialization script creates the new superuser account but fails to drop the built-in cassandra account in certain scenarios. This leaves the default cassandra:cassandra superuser active as an unintended access path. Affected versions — Container image: 4.0.x prior to 4.0.20-photon-5-r7; 4.1.x prior to 4.1.11-photon-5-r7; 5.0.x prior to 5.0.8-photon-5-r4 / 5.0.8-debian-12-r3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS