TL;DR — der CVE in zwei Sätzen
- CVE-2026-33109: Remote Code Execution in Azure Managed Instance for Apache Cassandra mit CVSS 9.9.
- Begleiter CVE-2026-33844 trifft denselben Service mit CVSS 9.0 — gleicher Patch.
- Microsoft rollt den Fix automatisch in die Managed Instances aus, du musst aber prüfen, ob deine Region durch ist.
- Selbst gehostete Cassandra-Cluster sind nicht direkt betroffen — die Lücke liegt im Microsoft-Management-Layer.
Du fährst eine Big-Data-Pipeline auf Azure und nutzt den Managed-Cassandra-Service? Achtung. Microsoft hat eine Bombe entschärft, die seit Tagen unter dem Rader schlug: CVE-2026-33109 reißt mit CVSS 9.9 einen direkten Pfad von außen ins Cluster auf.
Was da kaputt war
Die Schwachstelle sitzt im Microsoft-Management-Layer, den Azure über deinen Cassandra-Cluster legt. Ein unauthentifizierter Angreifer konnte über die Steuer-API Code ausführen — direkt im Service-Konto, mit voller Lese- und Schreibberechtigung auf den Daten-Knoten. Microsoft stuft die Lücke als „kritisch“ ein und nennt sie RCE (Remote Code Execution) — die schärfste Klasse, die es gibt.
Begleitend kam CVE-2026-33844 mit CVSS 9.0 raus — derselbe Service, anderer Angriffsvektor. Patch ist gemeinsam, also musst du dich um zwei CVEs gleichzeitig kümmern.
Wer betroffen ist — und wer nicht
Betroffen: Azure Managed Instance for Apache Cassandra (alle Versionen vor dem Mai-Patch).
Nicht betroffen: Self-hosted Cassandra (egal ob On-Prem oder in einer VM), Cassandra in AWS Keyspaces, Datastax Astra — die Lücke ist spezifisch im Azure-Management-Layer.
Was Microsoft macht — und was DU tun musst
Microsoft rollt den Fix automatisch aus. Aber: Das Rollout läuft regionsweise, und in einigen Zonen war es zur Stunde noch nicht durch. Drei Schritte für dich:
- Azure-Portal aufmachen → deine Cassandra-Instanz → „Health“ → prüfen, ob die Region als gepatcht markiert ist.
- Logs durchgehen — Microsoft empfiehlt, die Audit-Logs der letzten 7 Tage nach ungewöhnlichen Management-API-Aufrufen zu durchforsten.
- Service-Konto-Keys rotieren — falls die Lücke vor dem Patch ausgenutzt wurde, könnten Credentials kompromittiert sein.
Warum die 9.9 weh tut
Ein CVSS-Score von 9.9 bedeutet: Niedrige Hürde, maximaler Schaden. Kein Login nötig, keine User-Interaktion, kein lokaler Zugriff. Wer den Endpoint kennt, kann reinmarschieren. Genau diese Sorte Lücke landet erfahrungsgemäß innerhalb von Tagen in Mass-Scanner — wenn du Cassandra in Azure fährst, ist „später kümmern“ keine Option.
Häufige Fragen
Muss ich neu starten?
Nein. Microsoft schiebt den Fix in den Management-Layer, ohne deine Cassandra-Daten-Knoten neu zu starten. Verfügbarkeit bleibt erhalten.
Gibt es einen Exploit in freier Wildbahn?
Microsoft hat zur Stunde keine aktive Ausnutzung beobachtet, warnt aber explizit vor der Wahrscheinlichkeit, dass Scanner in Tagen rollen.
Welche Versionen sind sicher?
Alle Managed Instances mit Mai-2026-Patch oder neuer. Im Portal unter „Health“ steht eine eindeutige Versionsnummer.
Was, wenn ich self-hosted Cassandra fahre?
Du bist von diesem CVE nicht betroffen. Trotzdem solltest du regelmäßig Cassandra-Sicherheitspatches einspielen — die Engine selbst hat eigene CVEs.
Wo finde ich die offiziellen Microsoft-Details?
Im MSRC-Portal unter CVE-2026-33109 und CVE-2026-33844 — dort steht die volle Beschreibung samt Affected Components.
Quellen
- msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33109
- crowdstrike.com/en-us/blog/patch-tuesday-analysis-may-2026/
- feedly.com/cve/severity/9-10