CVE-2026-47846
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Obrazy kontenerów Bitnami Cassandra są podatne na lukę związaną z zachowaniem domyślnego superużytkownika. W przypadku skonfigurowania niestandardowego konta administratora za pomocą zmiennej środowiskowej CASSANDRA_USER, skrypt inicjalizacji kontenera tworzy nowe konto superużytkownika, ale nie usuwa wbudowanego konta cassandra w określonych scenariuszach.
Ocena ryzyka
Pozostawienie domyślnego konta cassandra:cassandra aktywnego stwarza niezamierzony dostęp do systemu, co może prowadzić do nieautoryzowanego dostępu i potencjalnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację obrazów kontenerów do wersji 4.0.20-photon-5-r7, 4.1.11-photon-5-r7 lub 5.0.8-photon-5-r4 / 5.0.8-debian-12-r3, aby usunąć domyślne konto superużytkownika.
Oryginalny opis (angielski, źródło NVD)
Bitnami Cassandra container images are affected by a retained default superuser vulnerability. When a custom administrator account is configured via the CASSANDRA_USER environment variable, the container initialization script creates the new superuser account but fails to drop the built-in cassandra account in certain scenarios. This leaves the default cassandra:cassandra superuser active as an unintended access path. Affected versions — Container image: 4.0.x prior to 4.0.20-photon-5-r7; 4.1.x prior to 4.1.11-photon-5-r7; 5.0.x prior to 5.0.8-photon-5-r4 / 5.0.8-debian-12-r3.

