Plateforme
ruby
Composant
cassandra-web
Corrigé dans
0.5.1
La vulnérabilité CVE-2020-36939 affecte Cassandra Web version 0.5.0. Elle se manifeste par un défaut de parcours de répertoire, permettant à des attaquants non authentifiés de lire des fichiers arbitraires sur le système. L'exploitation de cette faille peut conduire à la divulgation d'informations sensibles, telles que les mots de passe système et les identifiants de la base de données Cassandra, compromettant ainsi la sécurité globale du système.
Cette vulnérabilité permet à un attaquant non authentifié d'exploiter le module Rack::Protection désactivé pour lire des fichiers sensibles. L'attaquant peut manipuler les paramètres de chemin pour accéder à des fichiers critiques tels que /etc/passwd, révélant ainsi les informations d'identification des utilisateurs du système. De plus, l'accès aux identifiants de la base de données Cassandra permettrait à l'attaquant de compromettre la base de données elle-même, entraînant une perte ou une manipulation de données. Le rayon d'impact est potentiellement élevé, car l'attaquant pourrait obtenir un accès complet au système et à ses données.
La vulnérabilité CVE-2020-36939 a été rendue publique le 27 janvier 2026. Il n'y a pas d'indications d'une inclusion dans le KEV de CISA à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'exister, ce qui augmente le risque d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute information supplémentaire.
Organizations running Cassandra Web version 0.5.0, particularly those with misconfigured deployments where the Rack::Protection module is disabled, are at significant risk. Shared hosting environments where Cassandra Web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to the entire hosting environment.
• ruby / web:
# Check for suspicious file access attempts in Cassandra Web logs
# Look for patterns like '../' or '..\'• generic web:
# Check for directory listing exposure
curl -I <cassandra_web_url>/..disclosure
Statut de l'Exploit
EPSS
0.66% (percentile 71%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Cassandra Web vers une version corrigée, dès que disponible. En attendant, il est fortement recommandé de désactiver temporairement l'accès à Cassandra Web si possible. Si la mise à jour n'est pas immédiatement possible, il est crucial de renforcer la sécurité du système en limitant l'accès aux fichiers sensibles et en surveillant attentivement les journaux système pour détecter toute activité suspecte. Il est également possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de parcours de répertoire.
Actualice a una versión corregida de Cassandra Web que solucione la vulnerabilidad de recorrido de directorios. Verifique la documentación del proyecto o el repositorio de GitHub para obtener información sobre las versiones disponibles y las instrucciones de actualización. Como no hay una versión corregida disponible, considere deshabilitar o eliminar el componente Cassandra Web hasta que se publique una actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-36939 is a directory traversal vulnerability in Cassandra Web 0.5.0 that allows attackers to read arbitrary files by manipulating path traversal parameters due to a disabled Rack::Protection module.
If you are running Cassandra Web version 0.5.0 and the Rack::Protection module is disabled, you are likely affected by this vulnerability.
Upgrade to a patched version of Cassandra Web. Until a patched version is available, disable the Cassandra Web interface or implement strict input validation.
There is no current evidence of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the Apache Cassandra project website for official advisories and updates related to CVE-2020-36939.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.