Apache HugeGraph-Server<1.3.0 Gremlin命令执行漏洞 (CVE-2024-27348)

漏洞类型 代码注入 发现时间 2024-04-22 漏洞等级 中危
MPS编号 MPS-5hs6-vtei CVE编号 CVE-2024-27348 漏洞影响广度

漏洞危害

OSCS 描述
Apache HugeGraph-Server 是一个开源大规模图数据库管理系统。Gremlin 用于在图数据库上进行数据查询和操作。
由于1.0.0到1.3.0版本默认未开启身份验证,攻击者可通过直接访问RESTful API 执行Gremlin命令,查询其中数据。
生产环境建议开启身份验证,并启用“IP/端口白名单”功能以增强RESTful API的安全性。
参考链接:https://www.oscs1024.com/hd/MPS-5hs6-vtei

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.hugegraph:hugegraph-server [1.0.0, 1.3.0) 升级 升级hugegraph到 1.3.0 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-5hs6-vtei

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5hs6-vtei

https://seclists.org/oss-sec/2024/q2/160

https://nvd.nist.gov/vuln/detail/CVE-2024-27348

(0)
上一篇 2024年4月24日
下一篇 2024年4月25日

相关推荐

  • Babel 插件任意代码执行漏洞漏洞【Poc公开】 (CVE-2023-45133)

    漏洞类型 不完整的黑名单 发现时间 2023-10-13 漏洞等级 严重 MPS编号 MPS-avb9-j50z CVE编号 CVE-2023-45133 漏洞影响广度 广 漏洞危害 OSCS 描述 Babel 是开源的 JavaScript 编译器。 当使用依赖 path.evaluate() 或 path.evaluateTruthy()方法的插件编译攻…

    2023年10月14日
    0
  • Argo CD 集群密钥泄漏风险 (CVE-2023-40029)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-09-08 漏洞等级 严重 MPS编号 MPS-jby0-dvsh CVE编号 CVE-2023-40029 漏洞影响广度 广 漏洞危害 OSCS 描述 Argo CD 是用于 Kubernetes 的声明性 GitOps 持续交付工具,Kubernetes 集群密钥存储在 kubectl.kubernete…

    2023年9月11日
    0
  • GitLab 账号接管漏洞 (CVE-2023-7028)

    漏洞类型 从非可信控制范围包含功能例程 发现时间 2024-01-12 漏洞等级 严重 MPS编号 MPS-vbt9-zgx1 CVE编号 CVE-2023-7028 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台 GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许…

    2024年1月12日
    0
  • Nacos 集群Raft反序列化漏洞 [有POC]

    漏洞类型 反序列化 发现时间 2023/6/6 漏洞等级 严重 MPS编号 MPS-x09i-fgr6 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Nacos是一个用于动态服务发现和配置以及服务管理的平台。攻击者可以在Nacos集群处理某些Jraft请求时利用Hessian进行无限制的反序列化,从而造成远程代码执行。由于Nacos…

    2023年8月30日
    0
  • XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

    漏洞类型 XSS 发现时间 2023-11-15 漏洞等级 中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。 由于在查询 /xxl-job…

    2023年11月16日
    0