CVE-2024-27348

Nome do software vulnerável e versões afetadas:

Apache HugeGraph-Server, versões 1.0.0 a 1.3.0

Descrição:

A vulnerabilidade afeta o Apache HugeGraph-Server, permitindo a execução remota de código sem autenticação e o controle do servidor. Essa falha pode ser explorada por invasores para contornar as restrições da sandbox, levando à execução remota de código. A vulnerabilidade foi identificada nas versões 1.0.0 a 1.3.0 do HugeGraph-Server. Recomenda-se atualizar para a versão 1.3.0 com Java 11 e habilitar o sistema de autenticação (Auth) para corrigir o problema. A vulnerabilidade está sendo explorada ativamente, e os usuários são aconselhados a tomar medidas imediatas para evitar a exploração.

Recomendações:

Atualize para a versão 1.3.0 com Java 11 e habilite o sistema Auth para corrigir o problema.

Como solução temporária, considere desabilitar a funcionalidade de injeção groovy vulnerável até que um patch esteja disponível.

Restrinja o acesso ao endpoint gremlin vulnerável para minimizar o risco de exploração.

Evite usar o parâmetro groovy no endpoint da API afetado até que o problema seja resolvido.