Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04433

Опубликовано: 22 апр. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость сервера графовой СУБД Apache HugeGraph связана с обходом процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Apache HugeGraph Server

Версия ПО

от 1.0.0 до 1.3.0 (Apache HugeGraph Server)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование «белого» списка IP-адресов для ограничения возможности подключения к СУБД;
- включение системы аутентификации;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://hugegraph.apache.org/docs/config/config-authentication/#configure-user-authentication
https://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94047
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-27348

CVSS3: 9.8
nvd
больше 1 года назад

RCE-Remote Command Execution vulnerability in Apache HugeGraph-Server.This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.3.0 in Java8 & Java11 Users are recommended to upgrade to version 1.3.0 with Java11 & enable the Auth system, which fixes the issue.

github логотип

GHSA-29rc-vq7f-x335

CVSS3: 9.8
github
больше 1 года назад

Apache HugeGraph-Server: Command execution in gremlin

EPSS

Процентиль: 100%
0.94047
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2