Krytyczna podatność typu RCE (Remote Command Execution) w Apache HugeGraph-Server umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Podatność jest aktywnie wykorzystywana przez atakujących i figuruje na liście CISA KEV.
▸ Pokaż oryginał (EN)
RCE-Remote Command Execution vulnerability in Apache HugeGraph-Server.This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.3.0 in Java8 & Java11 Users are recommended to upgrade to version 1.3.0 with Java11 & enable the Auth system, which fixes the issue.
Podatność wynika z niewystarczającej kontroli dostępu (CWE-284) w Apache HugeGraph-Server działającym na Java 8 lub Java 11 w wersjach od 1.0.0 do 1.3.0. Atakujący może bez żadnego uwierzytelnienia wysłać odpowiednio spreparowane żądanie sieciowe do serwera, co prowadzi do wykonania dowolnych poleceń w kontekście procesu serwera. Brak wymogu interakcji użytkownika oraz brak konieczności posiadania jakichkolwiek uprawnień czyni ten wektor szczególnie niebezpiecznym.
Atakujący uzyskuje pełną kontrolę nad systemem — możliwe jest odczytanie, modyfikacja lub usunięcie danych, a także przejęcie kontroli nad serwerem i dalsza penetracja infrastruktury (lateral movement).
Należy niezwłocznie zaktualizować Apache HugeGraph-Server do wersji 1.3.0 uruchomionej na Java 11 oraz włączyć system uwierzytelniania (Auth system) zgodnie z dokumentacją producenta dostępną pod adresem: https://hugegraph.apache.org/docs/config/config-authentication/
Apache HugeGraph-Server w wersjach od 1.0.0 do 1.3.0 (wyłącznie) działających na Java 8 oraz Java 11
Podatność została opublikowana 22 kwietnia 2024 roku i zgłoszona na liście oss-security. Producent wskazuje, że samo wgranie wersji 1.3.0 nie jest wystarczające — konieczne jest również aktywne włączenie systemu uwierzytelniania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Hugegraph
APPApache1.0.0 – 1.3.0 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- HugeGraph-Server
- Data dodania do KEVi
- 18 września 2024
- Termin remediation (USA)i
- 9 października 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Apache HugeGraph-Server zawiera lukę dotyczącą nieprawidłowej kontroli dostępu, która może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu.
▸ Pokaż oryginał (EN)
Apache HugeGraph-Server contains an improper access control vulnerability that could allow a remote attacker to execute arbitrary code.
Powiązane podatności
Authentication Bypass w Apache HugeGraph-Server (zakładane niezmienne dane)
Pominięcie uwierzytelnienia przez spoofing w Apache HugeGraph-Server
A remote code execution vulnerability exists where a malicious Raft node can exploit insecure Hessian deserial...
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację