Plataforma
apache
Componente
apache-cassandra
Corregido en
4.0.20
4.1.11
5.0.7
La vulnerabilidad CVE-2026-32588 es una denegación de servicio (DoS) que afecta a Apache Cassandra en las versiones 4.0, 4.1 y 5.0, específicamente desde la versión 4.0.0 hasta la 5.0.6. Un usuario autenticado puede aprovechar esta falla para aumentar significativamente la latencia de las consultas CQL, impactando el rendimiento del sistema. La solución recomendada es actualizar a las versiones 4.0.20, 4.1.11 o 5.0.7.
Esta vulnerabilidad permite a un atacante autenticado causar una denegación de servicio en el clúster de Apache Cassandra. El atacante puede lograr esto mediante el envío repetido de solicitudes de cambio de contraseña a través del lenguaje de consulta CQL. Cada solicitud de cambio de contraseña requiere que Cassandra realice una serie de operaciones internas, lo que consume recursos del sistema. Al enviar un gran número de estas solicitudes en un corto período de tiempo, el atacante puede sobrecargar el sistema, aumentando la latencia de las consultas para todos los usuarios y potencialmente haciendo que el clúster sea inaccesible. El impacto principal es la degradación del servicio y la interrupción de las operaciones que dependen de Cassandra.
La vulnerabilidad fue publicada el 7 de abril de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (DoS) la hace susceptible a ataques. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. La disponibilidad de un exploit público es desconocida, pero la facilidad de explotación (requiere autenticación) sugiere que podría desarrollarse rápidamente.
Organizations running Apache Cassandra versions 4.0.0 through 5.0.6 are at risk, particularly those with a large number of users or applications relying on Cassandra for data storage. Shared hosting environments where multiple users have access to the Cassandra instance are also at increased risk.
• apache: Monitor Cassandra query latency using built-in metrics or external monitoring tools. Look for sudden and sustained increases in latency following password change events.
# Check Cassandra query latency using nodetool
nodetool cfstats | grep 'Read latency'• apache: Examine Cassandra system logs for excessive password change requests originating from a single user or IP address.
# Filter Cassandra logs for password change events
zookeeper.log | grep 'Password changed for user'disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
La mitigación principal para CVE-2026-32588 es actualizar a una versión de Apache Cassandra que contenga la corrección. Las versiones afectadas son 4.0.0 a 4.0.19, 4.1.0 a 4.1.10 y 5.0.0 a 5.0.6. La versión corregida es 4.0.20, 4.1.11 o 5.0.7. Si la actualización inmediata no es posible, considere limitar el número de solicitudes de cambio de contraseña permitidas por usuario en un período de tiempo determinado. Implementar reglas en un proxy inverso o firewall de aplicaciones web (WAF) para detectar y bloquear patrones de tráfico sospechosos que involucren múltiples solicitudes de cambio de contraseña en un corto período de tiempo puede ayudar a mitigar el riesgo. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes de cambio de contraseña no causen un aumento significativo en la latencia de las consultas.
Actualice Apache Cassandra a la versión 4.0.20, 4.1.11 o 5.0.7 para mitigar la vulnerabilidad. Esta actualización corrige un problema que permite a un usuario autenticado causar una denegación de servicio (DoS) mediante cambios repetidos de contraseñas de roles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32588 is a Denial of Service vulnerability in Apache Cassandra versions 4.0.0–5.0.6 where authenticated users can trigger query latency spikes by repeatedly changing their passwords.
You are affected if you are running Apache Cassandra versions 4.0.0 through 5.0.6. Upgrade to 4.0.20, 4.1.11, or 5.0.7 to mitigate the risk.
Upgrade to a patched version of Apache Cassandra: 4.0.20, 4.1.11, or 5.0.7. Consider rate limiting password changes as a temporary workaround.
There is no confirmed active exploitation of CVE-2026-32588 at this time, but the ease of exploitation warrants prompt patching.
Refer to the Apache Cassandra security advisories on the Apache project website for the latest information: https://cassandra.apache.org/security/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.