Se você ainda não atualizou para a versão 1.3.0 do Apache HugeGraph, agora é um bom momento porque pelo menos duas explorações de prova de conceito para um bug de execução de comando remoto classificado como CVSS 9.8 no banco de dados gráfico de código aberto foram feitas público.Apache HugeGraph permite que os desenvolvedores criem aplicativos baseados em bancos de dados gráficos e é comumente usado em ambientes Java 8 e Java 11. No final de abril, a Apache Software Foundation divulgou uma vulnerabilidade crítica, rastreada como CVE-2024-27348, nas versões do HugeGraph-Server 1.0.0 antes do lançamento 1.3.0 de abril. Agora, o código de exploração para encontrar e quebrar esses sistemas está no GitHub.O problema, CVE-2024-27348, pode ser abusado para contornar restrições de sandbox e obter execução remota de código usando comandos Gremlin especialmente criados que exploram a filtragem de reflexão ausente no SecurityManager.Há uma análise muito detalhada do CVE do equipamento de teste de penetração SecureLayer7 avisando que os administradores realmente precisam consertar isso.
Se explorada, a falha dá ao invasor controle total sobre o servidor e permite que ele roube dados confidenciais, bisbilhote a rede interna da organização vítima, implante ransomware ou execute qualquer outra série de ações malignas.
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…
Campanha de phishing com falso e-mail da SSA desativa proteções do Windows e instala ScreenConnect…