CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3162
https://notcve.org/view.php?id=CVE-2017-3162
HDFS clients interact with a servlet on the DataNode to browse the HDFS namespace. The NameNode is provided as a query parameter that is not validated in Apache Hadoop before 2.7.0. Vulnerabilidad en HDFS de Hadoop en versiones anteriores a la 2.7.0, a través de la cual clientes de HDFS podrían interactuar con un servlet en el DataNode para poder explorar el espacio de nombres HDFS. El NameNode se proporcionaría como un parámetro de consulta que no estaría validado en las versiones mencionadas de Apache Hadoop. • http://www.securityfocus.com/bid/98017 https://lists.apache.org/thread.html/r127f75748fcabc63bc5a1bec6885753eb9b2bed803b6ed7bd46f965b%40%3Cuser.hadoop.apache.org%3E https://lists.apache.org/thread.html/r66de86b9a608c1da70b2d27d765c11ec88edf6e5dd6f379ab33e072a%40%3Cuser.flink.apache.org%3E https://s.apache.org/k2ss • CWE-20: Improper Input Validation •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2016-6811
https://notcve.org/view.php?id=CVE-2016-6811
In Apache Hadoop 2.x before 2.7.4, a user who can escalate to yarn user can possibly run arbitrary commands as root user. En Apache Hadoop en versiones 2.x anteriores a la 2.7.4, un usuario que pueda escalar a usuario yarn podría ejecutar comandos arbitrarios como usuario root. • https://lists.apache.org/thread.html/9ba3c12bbdfd5b2cae60909e48f92608e00c8d99196390b8cfeca307%40%3Cgeneral.hadoop.apache.org%3E • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 25EXPL: 0CVE-2014-0229
https://notcve.org/view.php?id=CVE-2014-0229
Apache Hadoop 0.23.x before 0.23.11 and 2.x before 2.4.1, as used in Cloudera CDH 5.0.x before 5.0.2, do not check authorization for the (1) refreshNamenodes, (2) deleteBlockPool, and (3) shutdownDatanode HDFS admin commands, which allows remote authenticated users to cause a denial of service (DataNodes shutdown) or perform unnecessary operations by issuing a command. Apache Hadoop 0.23.x en versiones anteriores a 0.23.11 y 2.x en versiones anteriores a 2.4.1, como se utiliza en Cloudera CDH 5.0.x en versiones anteriores a 5.0.2, no verifica la autorización para los comandos de administración HDFS (1) refreshNamenodes, (2) deleteBlockPool y (3) ShutdownDatanode, lo que permite a usuarios remotos autenticados provocar una denegación de servicio (cierre de DataNodes) o realizar operaciones innecesarias emitiendo un comando. • https://www.cloudera.com/documentation/other/security-bulletins/topics/csb_topic_1.html#concept_i1q_xvk_2r • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 0%CPEs: 8EXPL: 0CVE-2016-5393
https://notcve.org/view.php?id=CVE-2016-5393
In Apache Hadoop 2.6.x before 2.6.5 and 2.7.x before 2.7.3, a remote user who can authenticate with the HDFS NameNode can possibly run arbitrary commands with the same privileges as the HDFS service. En Apache Hadoop 2.6.x en versiones anteriores a 2.6.5 y 2.7.x en versiones anteriores a 2.7.3, un usuario remoto que pueda autentificarse con el HDFS NameNode podría posiblemente ejecutar comandos arbitrarios con los mismos privilegios que el servicio HDFS. • http://mail-archives.apache.org/mod_mbox/hadoop-general/201611.mbox/%3CCAA0W1bTbUmUUSF1rjRpX-2DvWutcrPt7TJSWUcSLg1F0gyHG1Q%40mail.gmail.com%3E http://www.securityfocus.com/bid/94574 • CWE-284: Improper Access Control •
CVSS: 6.2EPSS: 0%CPEs: 5EXPL: 0CVE-2015-1776
https://notcve.org/view.php?id=CVE-2015-1776
Apache Hadoop 2.6.x encrypts intermediate data generated by a MapReduce job and stores it along with the encryption key in a credentials file on disk when the Intermediate data encryption feature is enabled, which allows local users to obtain sensitive information by reading the file. Apache Hadoop 2.6.x cifra los datos intermedios generados por una tarea MapReduce y los almacena junto con la clave de cifrado en un archivo de credenciales en disco cuando la funcionalidad de cifrado de datos Intermediate está habilitada, lo que permite a usuarios locales obtener información sensible mediante la lectura del archivo. • http://mail-archives.apache.org/mod_mbox/hadoop-general/201602.mbox/%3CCAGCyb56CPgQMcxZ7jP87SfM5OKGx+E49DtrzCTQ6+nQf2a4nSA%40mail.gmail.com%3E http://www.securityfocus.com/bid/83259 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •