Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-27348 con gravità “critica” – già sanata dal vendor ad aprile 2024 – relativa ad Apache HugeGraph-Server, componente chiave del database grafico distribuito Apache HugeGraph. Tale vulnerabilità potrebbe consentire a un utente non autenticato l’esecuzione da remoto di codice arbitrario sui sistemi target.

Tipologia

• Remote Code Execution

Prodotti e versioni affette

Apache HugeGraph-Server, versioni precedenti alla 1.3.0

Azioni di Mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-27348

Riferimenti

https://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9

https://hugegraph.incubator.apache.org/docs/guides/security/

https://hugegraph.apache.org/docs/config/config-authentication/#configure-user-authentication

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.