Platform
ruby
Component
cassandra-web
Opgelost in
0.5.1
CVE-2020-36939 beschrijft een directory traversal kwetsbaarheid in Cassandra Web, versie 0.5.0. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op het systeem te lezen, mogelijk gevoelige informatie zoals wachtwoorden en database credentials bloot te leggen. De kwetsbaarheid is publiekelijk bekend sinds 27 januari 2026 en vereist een upgrade naar een beveiligde versie om de risico's te mitigeren.
De directory traversal kwetsbaarheid in Cassandra Web stelt aanvallers in staat om bestanden buiten de toegestane directory's te benaderen. Door manipulatie van padtraversal parameters, zoals ../, kunnen aanvallers paden construeren die leiden naar gevoelige systeem bestanden. In het bijzonder kan de kwetsbaarheid worden gebruikt om /etc/passwd te lezen, wat gebruikersnamen en gehashte wachtwoorden kan onthullen. Daarnaast kunnen aanvallers mogelijk Apache Cassandra database credentials ophalen, waardoor ze ongeautoriseerde toegang tot de database kunnen krijgen. De impact is aanzienlijk, aangezien de kwetsbaarheid ongeauthenticeerde toegang mogelijk maakt en de blootstelling van kritieke systeem informatie en database credentials tot gevolg kan hebben.
Er is geen informatie beschikbaar over actieve exploitatie van CVE-2020-36939. De kwetsbaarheid is publiekelijk bekend sinds 27 januari 2026. De ernst van de kwetsbaarheid is hoog (CVSS 7.5) en vereist aandacht. Er zijn geen bekende KEV-listings of EPSS scores voor deze kwetsbaarheid. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven.
Organizations running Cassandra Web version 0.5.0, particularly those with misconfigured deployments where the Rack::Protection module is disabled, are at significant risk. Shared hosting environments where Cassandra Web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to the entire hosting environment.
• ruby / web:
# Check for suspicious file access attempts in Cassandra Web logs
# Look for patterns like '../' or '..\'• generic web:
# Check for directory listing exposure
curl -I <cassandra_web_url>/..disclosure
Exploit Status
EPSS
0.66% (71% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2020-36939 is het upgraden naar een beveiligde versie van Cassandra Web. Omdat er geen specifieke beveiligde versie is vermeld, is het raadzaam om de meest recente versie te gebruiken of contact op te nemen met de Cassandra Web-ontwikkelaars voor een patch. Als een upgrade momenteel niet mogelijk is, kan het tijdelijk uitschakelen van de Rack::Protection module (die de kwetsbaarheid mogelijk maakt) een tijdelijke workaround bieden, maar dit verhoogt het risico op andere aanvallen. Controleer ook de webserver configuratie om de toegang tot de Cassandra Web interface te beperken en implementeer strikte toegangscontroles.
Actualice a una versión corregida de Cassandra Web que solucione la vulnerabilidad de recorrido de directorios. Verifique la documentación del proyecto o el repositorio de GitHub para obtener información sobre las versiones disponibles y las instrucciones de actualización. Como no hay una versión corregida disponible, considere deshabilitar o eliminar el componente Cassandra Web hasta que se publique una actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-36939 is a directory traversal vulnerability in Cassandra Web 0.5.0 that allows attackers to read arbitrary files by manipulating path traversal parameters due to a disabled Rack::Protection module.
If you are running Cassandra Web version 0.5.0 and the Rack::Protection module is disabled, you are likely affected by this vulnerability.
Upgrade to a patched version of Cassandra Web. Until a patched version is available, disable the Cassandra Web interface or implement strict input validation.
There is no current evidence of active exploitation, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the Apache Cassandra project website for official advisories and updates related to CVE-2020-36939.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.