Sintesi
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-27348 con gravità “critica” – già sanata dal vendor ad aprile 2024 – relativa ad Apache HugeGraph-Server, componente chiave del database grafico distribuito Apache HugeGraph. Tale vulnerabilità potrebbe consentire a un utente non autenticato l’esecuzione da remoto di codice arbitrario sui sistemi target.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (66,41/100)1.
Tipologia
- Remote Code Execution
Prodotti e versioni affette
Apache HugeGraph-Server, versioni precedenti alla 1.3.0
Azioni di Mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9
https://hugegraph.incubator.apache.org/docs/guides/security
https://hugegraph.apache.org/docs/config/config-authentication/#configure-user-authentication
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
