CRITICALCVE-2021-44521CVSS 9.1

Apache Cassandraにおけるコードインジェクションの脆弱性（不安全な設定が原因）

Q: CVE-2021-44521 in Apache Cassandraの影響はありますか？

Cassandraのバージョンが3.0.9以前の場合、影響を受ける可能性があります。特に、`enable_user_defined_functions`などの設定が有効になっている場合は注意が必要です。

プラットフォーム

java

コンポーネント

org.apache.cassandra:cassandra-all

修正版

3.0.26

3.11.12

4.0.2

3.0.26

AI Confidence: highNVDEPSS 90.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2021-44521は、Apache Cassandraのユーザ定義関数（UDF）機能におけるリモートコード実行（RCE）脆弱性です。この脆弱性は、enableuserdefinedfunctions、enablescripteduserdefinedfunctions、enableuserdefinedfunctions_threadsが特定の組み合わせで有効になっている場合に発生します。影響を受けるバージョンはCassandra 3.0.9以前です。バージョン3.0.26へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はCassandraクラスタ内のユーザ定義関数を作成できる権限を獲得することで、ホスト上で任意のコードを実行できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはクラスタ全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性は、特にユーザ定義関数を多用する環境において、重大なリスクをもたらします。設定ミスにより、この脆弱性が意図せず有効になっている場合があり、注意が必要です。この脆弱性の悪用は、システム全体の可用性と機密性を脅かす可能性があります。

悪用の状況

このCVEは2022年2月12日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、リモートコード実行の脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていませんが、CassandraのUDF機能の特性上、悪用方法が容易である可能性があります。

リスク対象者翻訳中…

Organizations running Apache Cassandra in production environments, particularly those utilizing user-defined functions, are at risk. Environments with less stringent access controls, where users have broad permissions to create objects within the Cassandra cluster, are especially vulnerable. Shared hosting environments where multiple tenants share a Cassandra instance are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u cassandra | grep -i "user defined function"

• java: Inspect cassandra.yaml for the presence of enableuserdefinedfunctions: true, enablescripteduserdefinedfunctions: true, and enableuserdefinedfunctions_threads: false. • generic web: Check Cassandra configuration files for the vulnerable settings. Review access logs for unusual UDF creation requests.

攻撃タイムライン

2021-08-17Discovery
discovery
2022-02-12Disclosure
disclosure
2022-02-12Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

90.61% (100% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorg.apache.cassandra:cassandra-all

ベンダーosv

影響範囲修正版

3.0.0 – 3.0.253.0.26

3.1 – 3.11.113.11.12

4.0.0 – 4.0.14.0.2

—3.0.26

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2021-12-02
公開日2022-02-12
更新日2023-12-06
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずCassandraをバージョン3.0.26以降にアップデートすることを推奨します。アップデートが困難な場合は、enableuserdefinedfunctions、enablescripteduserdefinedfunctions、enableuserdefinedfunctions_threadsを無効化することで、攻撃リスクを軽減できます。また、Web Application Firewall (WAF) やプロキシサーバを使用して、悪意のあるユーザ定義関数の作成を試みるリクエストをブロックすることも有効です。アップデート後、nodetool statusコマンドを実行し、すべてのノードが最新バージョンにアップデートされていることを確認してください。

修正方法

Apache Cassandraをバージョン3.0.26、3.11.12、または4.0.2以降にアップデートしてください。バージョンブランチに応じて適切なバージョンを選択してください。スクリプト化されたユーザー定義関数（UDF）が不要な場合は無効にするか、安全な環境で実行してください。スクリプト化されたUDFが必要な場合は、文書化されている不安全な設定を避けてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2021-44521 — RCE in Apache Cassandraとは何ですか？

CVE-2021-44521は、Apache Cassandraのユーザ定義関数機能におけるリモートコード実行（RCE）脆弱性です。特定の条件下で、攻撃者がホスト上で任意のコードを実行できるようになる可能性があります。

CVE-2021-44521 in Apache Cassandraの影響はありますか？

Cassandraのバージョンが3.0.9以前の場合、影響を受ける可能性があります。特に、enableuserdefined_functionsなどの設定が有効になっている場合は注意が必要です。

CVE-2021-44521 in Apache Cassandraを修正するにはどうすればよいですか？

Cassandraをバージョン3.0.26以降にアップデートすることを推奨します。アップデートが困難な場合は、関連する設定を無効化することでリスクを軽減できます。

CVE-2021-44521は積極的に悪用されていますか？

現時点では、具体的な悪用事例は確認されていませんが、リモートコード実行の脆弱性であるため、悪用される可能性はあります。

CVE-2021-44521に関するApache Cassandraの公式アドバイザリはどこで入手できますか？

Apache Cassandraの公式アドバイザリは、Apacheのセキュリティページで確認できます。https://security.apache.org/security-bulletins/index.html