Простой способ обойти блокировки – купи VPN через Телеграмм-бот: |
Администраторам нужно срочно обновиться, так как эксплоиты только увеличивают риск потери контроля над сервером и данными.
Специалисты SecureLayer7 предоставили подробный анализ уязвимости в популярной графовой базе данных Apache HugeGraph, которая позволяет удаленно выполнять код (Remote Code Execution, RCE).
CVE-2024-27348 (оценка CVSS: 9.8) выявлена в версиях HugeGraph-Server 1.0.0 – 1.3.0. Эксплуатация осуществляется путём обхода ограничений песочницы и выполнения удалённого кода с помощью специально сформированных команд Gremlin.
Команды Gremlin используют недостатки в фильтрации рефлексии в SecurityManager, что позволяет злоумышленникам получить полный контроль над сервером. Атака открывает возможность кражи конфиденциальных данных, шпионажа за внутренней сетью, развёртывания вымогательского ПО и других вредоносных действий.
В России и ищешь VPN? Покупай через Телеграмм-бот: |
Apache HugeGraph позволяет разработчикам создавать приложения на основе графовых баз данных и обычно используется в средах Java 8 и Java 11. Обнаруженная уязвимость ставит под угрозу множество организаций, использующих Apache HugeGraph.
В апреле, когда проблема была впервые раскрыта, Apache Software Foundation настоятельно рекомендовала пользователям обновиться до версии 1.3.0 и включить систему аутентификации для устранения недостатка. Для повышения безопасности также рекомендуется включить функцию “Whitelist-IP/port”, которая улучшает защиту выполнения RESTful-API.
С тех пор, как стали доступны PoC-эксплоиты, вероятность использования ошибки значительно возросла. Один из эксплоитов, предоставленный багхантером Миланом Йовичем, позволяет неаутентифицированному атакующему выполнять команды на уязвимых версиях. Другой разработчик, Зейад Азима, выпустил Python-сканер, который хоть и предназначен для этических целей, но также облегчает поиск уязвимых реализаций HugeGraph.
С учётом широкой распространённости Apache HugeGraph и серьёзности уязвимости CVE-2024-27348, обновление до версии 1.3.0 является срочной необходимостью. Если ваш проект ещё не обновлён до версии 1.3.0, сделайте это немедленно, чтобы защитить свои данные и инфраструктуру от возможных атак.
Станьте призраком в интернете
Узнайте как на нашем канале
Присоединяйтесь сейчас
Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.
Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.
Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.
Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.