CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞

发布于 作者:

CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞

Bill Toulas 代码卫士 2024-09-23 18:15

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单,其中一个是影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞CVE-2024-27348。

该漏洞是严重等级(CVSS v3.1 评分9.8)的访问控制不当漏洞,影响 HugeGraph-Server 1.0.0至1.3.0(不包括)版本。Apache 在2024年4月22日发布1.3.0修复该漏洞。除升级至最新版本外,用户也可使用 Java 11 并启用 Auth 系统。

另外,启用 “Whitelist-IP/port” 函数可提升 RESTful-API 执行的安全性,它也牵涉潜在的攻击链。CISA提醒称该漏洞已遭在野利用,联邦机构和其它关键基础设施在2024年10月9日前应采取缓解措施或停止使用该产品。

Apache HugeGraph-Server 是 Apache HugeGraph 项目的一个核心组件。该项目是一个开源的图形数据库,旨在处理高性能和高扩展性的大型图形数据,支持深层关系利用、数据集群和路径搜索所需的复杂操作。该产品供电信提供商用于欺诈检测和网络分析,供金融服务用于风险控制和交易模式分析,以及供社交网络用于连接分析和自动化推荐系统。

该漏洞已遭活跃利用,该产品用于高价值企业环境中,因此应尽快应用可用的安全更新和缓解措施。其它被纳入必修清单的四个漏洞为:

  • CVE-2020-0618:微软SQL Server Reporting Services RCE漏洞

  • CVE-2019-1069:微软 Windows Task Scheduler 提权漏洞

  • CVE-2022-21445:Oracle JDeveloper RCE漏洞

  • CVE-2020-14644:Oracle WebLogic Server RCE漏洞

这些老旧漏洞并非意味着近期遭利用,而是为了记录在过去某个节点这些漏洞已遭利用。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

承包商遭攻击,加拿大政府员工敏感信息被暴露

美国国防承包商 L3Harris 拟收购以色列监控公司 NSO Group

美国国会合同承包商遭勒索攻击,第三方软件安全亟需保障

美国国防部设立承包商网络漏洞披露计划

出于安全考虑,英国防部要求承包商勿回答某些政府普查问题

原文链接

https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/

题图:
Pixabay
 License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~