CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-27348

RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-04-22upd. 2025-10-23

Krytyczna podatność typu RCE (Remote Command Execution) w Apache HugeGraph-Server umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Podatność jest aktywnie wykorzystywana przez atakujących i figuruje na liście CISA KEV.

Pokaż oryginał (EN)

RCE-Remote Command Execution vulnerability in Apache HugeGraph-Server.This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.3.0 in Java8 & Java11 Users are recommended to upgrade to version 1.3.0 with Java11 & enable the Auth system, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej kontroli dostępu (CWE-284) w Apache HugeGraph-Server działającym na Java 8 lub Java 11 w wersjach od 1.0.0 do 1.3.0. Atakujący może bez żadnego uwierzytelnienia wysłać odpowiednio spreparowane żądanie sieciowe do serwera, co prowadzi do wykonania dowolnych poleceń w kontekście procesu serwera. Brak wymogu interakcji użytkownika oraz brak konieczności posiadania jakichkolwiek uprawnień czyni ten wektor szczególnie niebezpiecznym.

Skutki

Atakujący uzyskuje pełną kontrolę nad systemem — możliwe jest odczytanie, modyfikacja lub usunięcie danych, a także przejęcie kontroli nad serwerem i dalsza penetracja infrastruktury (lateral movement).

Mitygacja

Należy niezwłocznie zaktualizować Apache HugeGraph-Server do wersji 1.3.0 uruchomionej na Java 11 oraz włączyć system uwierzytelniania (Auth system) zgodnie z dokumentacją producenta dostępną pod adresem: https://hugegraph.apache.org/docs/config/config-authentication/

Kogo dotyczy

Apache HugeGraph-Server w wersjach od 1.0.0 do 1.3.0 (wyłącznie) działających na Java 8 oraz Java 11

Uwagi

Podatność została opublikowana 22 kwietnia 2024 roku i zgłoszona na liście oss-security. Producent wskazuje, że samo wgranie wersji 1.3.0 nie jest wystarczające — konieczne jest również aktywne włączenie systemu uwierzytelniania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Hugegraph

    APP
    Apache
    1.0.0 – 1.3.0 (bez)

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
HugeGraph-Server
Data dodania do KEVi
18 września 2024
Termin remediation (USA)i
9 października 2024(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Apache HugeGraph-Server zawiera lukę dotyczącą nieprawidłowej kontroli dostępu, która może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Apache HugeGraph-Server contains an improper access control vulnerability that could allow a remote attacker to execute arbitrary code.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 9 października 2024
CWE
Referencje

Powiązane podatności

CVE-2024-43441CRITICAL9.8PL ✓ten sam produkt

Authentication Bypass w Apache HugeGraph-Server (zakładane niezmienne dane)

CVE-2024-27349CRITICAL9.1PL ✓ten sam produkt

Pominięcie uwierzytelnienia przez spoofing w Apache HugeGraph-Server

CVE-2025-26866HIGH8.8ten sam produkt

A remote code execution vulnerability exists where a malicious Raft node can exploit insecure Hessian deserial...

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację