美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单，其中一个是影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞CVE-2024-27348。

该漏洞是严重等级（CVSS v3.1 评分9.8）的访问控制不当漏洞，影响 HugeGraph-Server 1.0.0至1.3.0（不包括）版本。Apache 在2024年4月22日发布1.3.0修复该漏洞。除升级至最新版本外，用户也可使用 Java 11 并启用 Auth 系统。

另外，启用 “Whitelist-IP/port” 函数可提升 RESTful-API 执行的安全性，它也牵涉潜在的攻击链。CISA提醒称该漏洞已遭在野利用，联邦机构和其它关键基础设施在2024年10月9日前应采取缓解措施或停止使用该产品。

Apache HugeGraph-Server 是 Apache HugeGraph 项目的一个核心组件。该项目是一个开源的图形数据库，旨在处理高性能和高扩展性的大型图形数据，支持深层关系利用、数据集群和路径搜索所需的复杂操作。该产品供电信提供商用于欺诈检测和网络分析，供金融服务用于风险控制和交易模式分析，以及供社交网络用于连接分析和自动化推荐系统。

该漏洞已遭活跃利用，该产品用于高价值企业环境中，因此应尽快应用可用的安全更新和缓解措施。其它被纳入必修清单的四个漏洞为：

这些老旧漏洞并非意味着近期遭利用，而是为了记录在过去某个节点这些漏洞已遭利用。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~