CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布


CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

Apache 软件基金会发布了一份重要的安全公告,警告用户其流行的图形数据库 HugeGraph 中存在远程代码执行 ( RCE ) 漏洞。该漏洞编号为CVE-2024-27348,在 Java 8 或 Java 11 上运行时会影响 1.0.0 至 1.2.1 版本。

该漏洞存在于 HugeGraph 的 Gremlin 遍历语言接口中,该接口允许用户与图形数据库进行交互。攻击者可以通过向 Gremlin 服务器发送特制请求来利用此漏洞,从而有可能获得在底层系统上执行任意代码的能力。

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

这可能会造成灾难性的后果,包括敏感数据被窃取或操纵、服务中断以及安装其他恶意软件。

任何使用存在漏洞的 Apache HugeGraph 版本的组织都面临风险。由于图形数据库在金融、医疗保健和社交网络等各个行业中被广泛使用,因此此漏洞的潜在影响非常大。

更为紧急的是,安全研究员 Zeyad Azima 最近发布了针对 CVE-2024-27348 漏洞的概念验证漏洞代码。此 Python 脚本可以在目标系统上执行命令,这凸显了迅速采取行动以降低风险的必要性。


CVE-2024-27348 – Gremlin @pdnuclei 中的 Apache HugeGraph-Server 命令执行

https://github.com/projectdiscovery/nuclei-templates/pull/9963/files

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

Apache HugeGraph Server RCE Scanner ( CVE-2024-27348 )

  • https://github.com/Zeyad-Azima/CVE-2024-27348?tab=readme-ov-file

usage: [-h] [--file FILE] [--target TARGET] [--port PORT] [--domain DOMAIN]
Exploit CVE-2024-27348 Gremlin RCE in HugeGraph server from 1.0.0 Before 1.3.0
optional arguments: -h, --help show this help message and exit --file FILE, -f FILE File containing target addresses and ports W/ the follwoing format: http://target,port e.x: http://localhost,8080 --target TARGET, -t TARGET Target IP address/domain --port PORT, -p PORT Target port --domain DOMAIN, -d DOMAIN Attacker domain (Your own domain to check ping/requests log)
python3 CVE-2024-27348_Scanner.py -t http(s)://target_address -p port -d your_domain/ip

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布


CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布


Apache 软件基金会敦促用户立即采取以下行动:

  • 升级:更新到HugeGraph 1.3.0或更高版本,确保它在Java 11上运行。

  • 启用身份验证:实施内置身份验证系统来限制对 Gremlin 服务器的访问。

  • 白名单IP地址:配置“白名单-IP/端口”功能,进一步限制对授权来源的访问。


感谢您抽出

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

.

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

.

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

来阅读本文

CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

点它,分享点赞在看都在这里

原文始发于微信公众号(Ots安全):CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布

版权声明:admin 发表于 2024年6月6日 下午12:12。
转载请注明:CVE-2024-27348:Apache HugeGraph RCE 漏洞,PoC 漏洞利用已发布 | CTF导航

相关文章