Les chercheurs de la société DevOps JFrog ont découvert un nouveau bogue de sécurité dans Apache Cassandra qui permet l’exécution de code à distance (RCE) sur les systèmes affectés.

Apache Cassandra est un système de gestion de base de données NoSQL, distribué et open-source, permettant de gérer de très grandes quantités de données structurées sur des serveurs de base.

La vulnérabilité suivie sous le nom CVE-2021-44521 (Score CVSS :8.4), elle est facile à exploiter et peut causer des dégâts sur les systèmes, cette faille est exploitée lorsque les fonctions définies par l’utilisateur (UDFs) est activée dans le fichier de configuration « cassandra.yaml », ce qui permet à un attaquant de tirer parti du moteur JavaScript ‘Nashorn’, d'échapper à la sandbox et d'exécuter du code non approuvé.

Il est recommandé aux utilisateurs d’Apache Cassandra à mettre à jour leur système vers les versions 3.0.26, 3.11.12 et 4.0.2 afin d’éviter toute exploitation possible.