آژانس امنیت سایبری CISA پنج نقص را به کاتالوگ آسیبپذیریهای مورد سوء استفاده شناخته شده (KEV) خود افزود، از جمله یک نقص اجرای کد از راه دور (RCE) حیاتی که بر سرور Apache HugeGraph تأثیر میگذارد.
این نقص با شناسه CVE-2024-27348 و امتیاز CVSS v3.1: 9.8، یک آسیبپذیری کنترل دسترسی نامناسب است که بر نسخههای HugeGraph-Server از 1.0.0 به بالا تأثیر میگذارد، اما شامل نسخه 1.3.0 نمیشود. Apache این آسیبپذیری را در ۲۲ آوریل ۲۰۲۴ با انتشار نسخه ۱.۳.۰ برطرف کرد. علاوه بر ارتقاء به آخرین نسخه، استفاده از جاوا 11 و فعال کردن سیستم Auth نیز به کاربران توصیه شد.
- CVE-2020-0618: آسیبپذیری اجرای کد از راه دور Microsoft SQL Server Reporting Services
- CVE-2019-1069: آسیبپذیری ارتقا سطح دسترسی Microsoft Windows Task Scheduler
- CVE-2022-21445: آسیبپذیری اجرای کد از راه دور Oracle JDeveloper
- CVE-2020-14644: آسیبپذیری اجرای کد از راه دور سرور Oracle WebLogic
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-apache-hugegraph-server-bug/