【漏洞预警】Apache HugeGraph-Server<1.3.0 Gremlin命令执行漏洞CVE-2024-27348

cexlife 飓风网络安全 2024-04-24 22:43

漏洞描述:

ApacheHugeGraph-Server是一个开源大规模图数据库管理系统,Gremlin 用于在图数据库上进行数据查询和操作。由于1.0.0到1.3.0版本默认未开启身份验证，攻击者可通过直接访问RESTful API 执行Gremlin命令，查询其中数据。生产环境建议开启身份验证，并启用“IP/端口白名单”功能以增强RESTful API的安全性。影响范围:org.apache.hugegraph:hugegraph-server[1.0.0, 1.3.0)修复方案:升级hugegraph到1.3.0或更高版本参考链接:https://seclists.org/oss-sec/2024/q2/160