Apache HugeGraph-Server è sotto attacco: scoperta una vulnerabilità critica
2024-7-18 20:0:40 Author: www.securityinfo.it(查看原文) 阅读量:2 收藏

Lug 18, 2024 Attacchi, News, RSS, Vulnerabilità


Apache HugeGraph-Server è sotto attacco: i cybercriminali stanno sfruttando una vulnerabilità critica del database per eseguire codice remoto sulle istanze colpite.

HugeGraph è un graph database open-source implementato nel framework TinkerPop3. Gli scenari applicativi del database includono l’esplorazione delle relazioni tra oggetti (nodi), analisi associative, ricerca di percorsi, estrazione di feature, clustering dei dati, community detection e grafi di conoscenza.

vulnerabilità Apache

Pixabay

Il bug, CVE-2024-27348, colpisce l’API Gremlin graph traversal language, il linguaggio funzionale di Apache ThinkerPop che consente agli utenti di esprimere query complesse in maniera semplice e ridotta sul property graph della loro applicazione.

I ricercatori di SecureLayer7 hanno approfondito l’exploit della vulnerabilità di Apache spiegando che può essere usata per bypassare i controlli e le restrizioni della sandbox. Nel dettaglio, il SecurityManager di Gremlin manca del reflection filtering e consente a un attaccante di manipolare diverse funzioni della classe, permettendogli in ultima analisi di eludere i controlli della sandbox.

A individuare gli attacchi sono stati i ricercatori di The Shadowserver Foundation: “Stiamo osservando tentativi di sfruttamento della CVE-2024-27348 di Apache HugeGraph-Server “POST /gremlin” da più sorgenti. Il codice della PoC è disponibile dall’inizio di giugno. Se state eseguendo HugeGraph, assicuratevi di aggiornarlo” hanno spiegato in un post su X.

Le versioni vulnerabili di HugeGraph-Server sono dalla 1.0.0 a prima della 1.3.0 in Java 8 e Java 11. Apache consiglia di aggiornare il prima possibile il database alla versione 1.3.0 con Java 11 e abilitare il sistema Auth.



Altro in questa categoria


文章来源: https://www.securityinfo.it/2024/07/18/apache-hugegraph-e-sotto-attacco-scoperta-una-vulnerabilita-critica/
如有侵权请联系:admin#unsafe.sh