Apache HugeGraph-Server<1.3.0 Gremlin命令执行漏洞 (CVE-2024-27348)

漏洞类型 代码注入 发现时间 2024-04-22 漏洞等级 中危
MPS编号 MPS-5hs6-vtei CVE编号 CVE-2024-27348 漏洞影响广度

漏洞危害

OSCS 描述
Apache HugeGraph-Server 是一个开源大规模图数据库管理系统。Gremlin 用于在图数据库上进行数据查询和操作。
由于1.0.0到1.3.0版本默认未开启身份验证,攻击者可通过直接访问RESTful API 执行Gremlin命令,查询其中数据。
生产环境建议开启身份验证,并启用“IP/端口白名单”功能以增强RESTful API的安全性。
参考链接:https://www.oscs1024.com/hd/MPS-5hs6-vtei

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.hugegraph:hugegraph-server [1.0.0, 1.3.0) 升级 升级hugegraph到 1.3.0 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-5hs6-vtei

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5hs6-vtei

https://seclists.org/oss-sec/2024/q2/160

https://nvd.nist.gov/vuln/detail/CVE-2024-27348

(0)
上一篇 2024年4月24日
下一篇 2024年4月25日

相关推荐

  • Atlassian Bitbucket 远程代码执行漏洞 (CVE-2023-22513)

    漏洞类型 输入验证不恰当 发现时间 2023-09-20 漏洞等级 高危 MPS编号 MPS-2023-0013 CVE编号 CVE-2023-22513 漏洞影响广度 广 漏洞危害 OSCS 描述 Atlassian Bitbucket 是澳大利亚Atlassian公司的一款Git代码托管解决方案。 在Bitbucket Server 和 Data Cen…

    2023年9月21日
    0
  • Apache OFBiz 目录遍历导致RCE漏洞 (CVE-2024-32113)

    漏洞类型 路径遍历 发现时间 2024-05-08 漏洞等级 严重 MPS编号 MPS-whuo-m9s3 CVE编号 CVE-2024-32113 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据。 在18.12.13之前的版本中,ControlFilt…

    漏洞 5天前
    0
  • Apache Airflow Run Task 权限绕过漏洞( CVE-2023-39508)

    漏洞类型 访问控制不当 发现时间 2023/8/5 漏洞等级 严重 MPS编号 MPS-2vhe-kp7q CVE编号 CVE-2023-39508 漏洞影响广度 一般 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,它允许用户定义、调度和监视工作流任务的执行。Run Task 是通过Airflow的Web界面或命令行工具。在 Air…

    2023年8月11日
    0
  • Apache Tomcat FORM 重定向漏洞 (CVE-2023-41080)

    漏洞类型 跨站重定向 发现时间 2023-08-26 漏洞等级 低危 MPS编号 MPS-uy56-j8e4 CVE编号 CVE-2023-41080 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Tomcat 是一款开源的 Web 应用服务器 在受影响版本中,由于在FORM身份验证中没有对认证后重定向的页面做验证,攻击者可以构造恶意的URL,使…

    2023年9月4日
    0
  • Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) (CVE-2024-22259)

    漏洞类型 SSRF 发现时间 2024-03-14 漏洞等级 高危 MPS编号 MPS-vhl4-ut8e CVE编号 CVE-2024-22259 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 由…

    2024年3月15日
    0