07/06/24
Специалисты SecureLayer7 предоставили подробный анализ уязвимости в популярной графовой базе данных Apache HugeGraph, которая позволяет удаленно выполнять код (Remote Code Execution RCE).
CVE-2024-27348 (оценка CVSS: 9.8) выявлена в версиях HugeGraph-Server 1.0.0 – 1.3.0. Эксплуатация осуществляется путём обхода ограничений песочницы и выполнения удалённого кода с помощью специально сформированных команд Gremlin, поясняет Securitylab.
Команды Gremlin используют недостатки в фильтрации рефлексии в SecurityManager, что позволяет злоумышленникам получить полный контроль над сервером. Атака открывает возможность кражи конфиденциальных данных, шпионажа за внутренней сетью, развёртывания вымогательского ПО и других вредоносных действий.
Apache HugeGraph позволяет разработчикам создавать приложения на основе графовых баз данных и обычно используется в средах Java 8 и Java 11. Обнаруженная уязвимость ставит под угрозу множество организаций, использующих Apache HugeGraph.
В апреле, когда проблема была впервые раскрыта, Apache Software Foundation настоятельно рекомендовала пользователям обновиться до версии 1.3.0 и включить систему аутентификации для устранения недостатка. Для повышения безопасности также рекомендуется включить функцию "Whitelist-IP/port", которая улучшает защиту выполнения RESTful-API.
