آسیبپذیری با شناسه CVE-2024-27349 و شدت بحرانی در Apache HugeGraph-Server امکان جعل و دور زدن احراز هویت و دور زدن لیست سفید (whitelist) در حالت Auth را برای مهاجم فراهم میآورد.
آسیبپذیری دیگری با شناسه CVE-2024-27348 و شدت بالا در Apache HugeGraph-Server امکان تزریق و اجرای دستور در gremlin را برای مهاجم فراهم میکند.
محصولات تحت تأثیر
این آسیبپذیری Apache HugeGraph-Server نسخه 1.0.0 تا قبل از نسخه 1.3.0 (در Java8 و Java11) را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Apache HugeGraph-Server به نسخه 1.30 (با Java11) اقدام نمایند. سیستم Auth را فعال کنند. همچنین تابع "Whitelist-IP/port" را برای افزایش امنیت اجرای RESTful-API فعال کنند.
منابع خبر:
[1] https://lists.apache.org/thread/dz9n9lndqfsf64t72o73r7sttrc6ocsd
[2] https://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9
- 51