Platform
apache
Component
apache-cassandra
Opgelost in
4.0.20
4.1.11
5.0.7
CVE-2026-32588 describes a Denial of Service (DoS) vulnerability affecting Apache Cassandra versions 4.0.0 through 5.0.6. An authenticated user can repeatedly change their password, causing significant increases in query latency and potentially disrupting service. Affected versions include Cassandra 4.0.x, 4.1.x, and 5.0.x. A fix is available in versions 4.0.20, 4.1.11, and 5.0.7.
Een Denial of Service (DoS) kwetsbaarheid is geïdentificeerd in Apache Cassandra, specifiek voor versies 4.0, 4.1 en 5.0. Deze kwetsbaarheid, aangeduid als CVE-2026-32588, stelt een geauthenticeerde gebruiker in staat om aanzienlijke query-laten te veroorzaken door herhaaldelijk hun wachtwoord te wijzigen via CQL (Cassandra Query Language). De aanvaller, met geldige inloggegevens, kan deze functie gebruiken om het systeem te overbelasten, wat de beschikbaarheid en prestaties van de database beïnvloedt. De ernst van dit probleem ligt in het potentieel om kritieke operaties te verstoren en een dienstverstoring te veroorzaken, vooral in productieomgevingen met een hoge werklast. De kwetsbaarheid vereist geen verhoogde privileges bovenop die van een geauthenticeerde gebruiker, waardoor de aanvalsoppervlakte wordt vergroot.
De kwetsbaarheid wordt uitgebuit door CQL te gebruiken om herhaaldelijk wachtwoorden te wijzigen. Een geauthenticeerde gebruiker kan CQL-commando's uitvoeren om hun eigen wachtwoord in een lus te wijzigen, waardoor een aanzienlijke belasting op het wachtwoordbeheer systeem van Cassandra ontstaat. Deze belasting kan leiden tot verhoogde query-laten en, in extreme gevallen, een denial-of-service. De aanval vereist geen verhoogde privileges, alleen de mogelijkheid om te authenticeren bij het Cassandra-systeem. De eenvoud van uitbuiting en de potentiële impact maken deze kwetsbaarheid tot een belangrijk probleem voor Cassandra-beheerders.
Organizations running Apache Cassandra versions 4.0.0 through 5.0.6 are at risk, particularly those with a large number of users or applications relying on Cassandra for data storage. Shared hosting environments where multiple users have access to the Cassandra instance are also at increased risk.
• apache: Monitor Cassandra query latency using built-in metrics or external monitoring tools. Look for sudden and sustained increases in latency following password change events.
# Check Cassandra query latency using nodetool
nodetool cfstats | grep 'Read latency'• apache: Examine Cassandra system logs for excessive password change requests originating from a single user or IP address.
# Filter Cassandra logs for password change events
zookeeper.log | grep 'Password changed for user'disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
Om deze kwetsbaarheid te mitigeren, wordt ten zeerste aanbevolen om te upgraden naar een van de volgende Apache Cassandra-versies: 4.0.20, 4.1.11 of 5.0.7. Deze versies bevatten specifieke fixes om het DoS-probleem aan te pakken dat verband houdt met herhaalde wachtwoordwijzigingen. De upgrade moet worden uitgevoerd volgens de best practices voor change management, inclusief grondige tests in een staging-omgeving voordat de update in productie wordt toegepast. Overweeg bovendien om wachtwoordbeleid te beoordelen en te versterken om de frequentie van wachtwoordwijzigingen te beperken en de kans op uitbuiting te verminderen. Het monitoren van de systeemprestaties en auditlogs kan helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice Apache Cassandra a la versión 4.0.20, 4.1.11 o 5.0.7 para mitigar la vulnerabilidad. Esta actualización corrige un problema que permite a un usuario autenticado causar una denegación de servicio (DoS) mediante cambios repetidos de contraseñas de roles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies 4.0, 4.1 en 5.0 zijn kwetsbaar voor deze kwetsbaarheid.
Als u niet onmiddellijk kunt upgraden, overweeg dan om mitigerende maatregelen te implementeren, zoals het beperken van de frequentie van wachtwoordwijzigingen en het monitoren van de systeemprestaties.
Over het algemeen is een herstart niet vereist, maar het is altijd aan te raden om de documentatie van de bijgewerkte versie te raadplegen.
Controleer de auditlogs op ongebruikelijke wachtwoordwijzigingen of een plotselinge toename van de query-laten.
Vulnerability scanning tools kunnen u helpen bij het identificeren van deze kwetsbaarheid in uw Cassandra-omgeving.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.