PoC para falha Apache HugeGraph RCE é publicada

Se você ainda não atualizou para a versão 1.3.0 do Apache HugeGraph, agora é um bom momento porque pelo menos duas explorações de prova de conceito para um bug de execução de comando remoto classificado como CVSS 9.8 no banco de dados gráfico de código aberto foram feitas público.Apache HugeGraph permite que os desenvolvedores criem aplicativos baseados em bancos de dados gráficos e é comumente usado em ambientes Java 8 e Java 11. No final de abril, a Apache Software Foundation divulgou uma vulnerabilidade crítica, rastreada como CVE-2024-27348, nas versões do HugeGraph-Server 1.0.0 antes do lançamento 1.3.0 de abril. Agora, o código de exploração para encontrar e quebrar esses sistemas está no GitHub.O problema, CVE-2024-27348, pode ser abusado para contornar restrições de sandbox e obter execução remota de código usando comandos Gremlin especialmente criados que exploram a filtragem de reflexão ausente no SecurityManager.Há uma análise muito detalhada do CVE do equipamento de teste de penetração SecureLayer7 avisando que os administradores realmente precisam consertar isso.

Se explorada, a falha dá ao invasor controle total sobre o servidor e permite que ele roube dados confidenciais, bisbilhote a rede interna da organização vítima, implante ransomware ou execute qualquer outra série de ações malignas.