聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是严重等级(CVSS v3.1 评分9.8)的访问控制不当漏洞,影响 HugeGraph-Server 1.0.0至1.3.0(不包括)版本。Apache 在2024年4月22日发布1.3.0修复该漏洞。除升级至最新版本外,用户也可使用 Java 11 并启用 Auth 系统。
另外,启用 “Whitelist-IP/port” 函数可提升 RESTful-API 执行的安全性,它也牵涉潜在的攻击链。CISA提醒称该漏洞已遭在野利用,联邦机构和其它关键基础设施在2024年10月9日前应采取缓解措施或停止使用该产品。
Apache HugeGraph-Server 是 Apache HugeGraph 项目的一个核心组件。该项目是一个开源的图形数据库,旨在处理高性能和高扩展性的大型图形数据,支持深层关系利用、数据集群和路径搜索所需的复杂操作。该产品供电信提供商用于欺诈检测和网络分析,供金融服务用于风险控制和交易模式分析,以及供社交网络用于连接分析和自动化推荐系统。
该漏洞已遭活跃利用,该产品用于高价值企业环境中,因此应尽快应用可用的安全更新和缓解措施。其它被纳入必修清单的四个漏洞为:
-
CVE-2020-0618:微软SQL Server Reporting Services RCE漏洞
-
CVE-2019-1069:微软 Windows Task Scheduler 提权漏洞
-
CVE-2022-21445:Oracle JDeveloper RCE漏洞
-
CVE-2020-14644:Oracle WebLogic Server RCE漏洞
这些老旧漏洞并非意味着近期遭利用,而是为了记录在过去某个节点这些漏洞已遭利用。
原文始发于微信公众号(代码卫士):CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论