聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是严重等级(CVSS v3.1 评分9.8)的访问控制不当漏洞,影响 HugeGraph-Server 1.0.0至1.3.0(不包括)版本。Apache 在2024年4月22日发布1.3.0修复该漏洞。除升级至最新版本外,用户也可使用 Java 11 并启用 Auth 系统。
另外,启用 “Whitelist-IP/port” 函数可提升 RESTful-API 执行的安全性,它也牵涉潜在的攻击链。CISA提醒称该漏洞已遭在野利用,联邦机构和其它关键基础设施在2024年10月9日前应采取缓解措施或停止使用该产品。
Apache HugeGraph-Server 是 Apache HugeGraph 项目的一个核心组件。该项目是一个开源的图形数据库,旨在处理高性能和高扩展性的大型图形数据,支持深层关系利用、数据集群和路径搜索所需的复杂操作。该产品供电信提供商用于欺诈检测和网络分析,供金融服务用于风险控制和交易模式分析,以及供社交网络用于连接分析和自动化推荐系统。
该漏洞已遭活跃利用,该产品用于高价值企业环境中,因此应尽快应用可用的安全更新和缓解措施。其它被纳入必修清单的四个漏洞为:
CVE-2020-0618:微软SQL Server Reporting Services RCE漏洞
CVE-2019-1069:微软 Windows Task Scheduler 提权漏洞
CVE-2022-21445:Oracle JDeveloper RCE漏洞
CVE-2020-14644:Oracle WebLogic Server RCE漏洞
这些老旧漏洞并非意味着近期遭利用,而是为了记录在过去某个节点这些漏洞已遭利用。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~