CVE-2024-27348
Apache HugeGraph-Server: Command execution in gremlin
En resumen
Apache HugeGraph-Server permite a atacantes ejecutar comandos arbitrarios en el servidor a través de la interfaz Gremlin sin autenticación. Este es un defecto crítico que puede llevar al compromiso total del sistema.
Detalle técnico
Vulnerabilidad de Ejecución Remota de Código en Apache HugeGraph-Server versiones 1.0.0 hasta 1.2.x explotable mediante envío de consultas Gremlin no autenticadas. El vector de ataque explota control de acceso insuficiente (CWE-284), permitiendo que atacantes en la red ejecuten comandos arbitrarios del sistema operativo con privilegios del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
RCE-Remote Command Execution vulnerability in Apache HugeGraph-Server.This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.3.0 in Java8 & Java11
Users are recommended to upgrade to version 1.3.0 with Java11 & enable the Auth system, which fixes the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Apache Software Foundation · Apache HugeGraph-ServerPoCs públicas encontradas — 7
githubgithub.com/Zeyad-Azima/CVE-2024-27348★ 61githubgithub.com/kljunowsky/CVE-2024-27348★ 18githubgithub.com/jakabakos/CVE-2024-27348-Apache-HugeGraph-RCE★ 4githubgithub.com/akelaqe/CVE-2024-27348-HugeGraph-RCE★ 1githubgithub.com/wqfh/CVE-2024-27348★ 1githubgithub.com/p0et08/CVE-2024-27348★ 0exploitdbwww.exploit-db.com/exploits/52149no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://hugegraph.apache.org/docs/config/config-authentication/#configure-user-authenticationhttps://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-27348https://www.vicarius.io/vsociety/posts/remote-code-execution-vulnerability-in-apache-hugegraph-server-cve-2024-27348http://www.openwall.com/lists/oss-security/2024/04/22/3