La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una vulnerabilidad en Apache HugeGraph-Server a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que indica que la falla se está explotando activamente.
La adición también obliga a las agencias federales a aplicar el parche antes de la fecha límite del 9 de octubre o a dejar de usar el producto vulnerable por completo.
La falla mencionada es una falla de ejecución remota de comandos en la API del lenguaje transversal de gráficos Gremlin. Este error tiene una clasificación de gravedad de 9,8 y afecta a todas las versiones del software anteriores a la versión 1.3.0. Se rastreó como CVE-2024-27348 y se parchó hace meses, en abril.
Cuatro errores más
Además de instalar el parche, también se recomienda a los usuarios utilizar JAva 11 y habilitar Auth. Además, deben habilitar la función “Lista blanca-IP/puerto”, ya que mejora la seguridad de la implementación RESTful-API, se agregó.
A mediados de julio de este año, la Fundación Shadowserver dijo que había encontrado evidencia de que se estaba explotando la falla y agregó que el código PoC había estado disponible públicamente desde principios de junio.
“Si usa HugeGraph, asegúrese de actualizar”, dijo la organización en ese momento.
Apache HugeGraph es un sistema de base de datos de gráficos de código abierto que admite el almacenamiento y la consulta de miles de millones de vértices y aristas. Implementado utilizando el marco Apache TinkerPop3, es totalmente compatible con el lenguaje de consulta Gremlin, lo que permite consultas y análisis de gráficos complejos.
Además del defecto RCE, CISA ha añadido cuatro defectos más al catálogo KEV: microsoft Vulnerabilidad de ejecución remota de código en SQL Server Reporting Services (CVE-2020-0618), vulnerabilidad de escalada de privilegios del Programador de tareas de Microsoft Windows (CVE-2019-1069) y vulnerabilidad de ejecución remota de código en Oracle JDeveloper (CVE-2022-21445), y una Vulnerabilidad de ejecución remota de código en Oracle WebLogic Server (CVE-2020-14644).
Agregar estos errores al catálogo no significa necesariamente que estén siendo explotados actualmente, informa BleepingComputer, solo que fueron explotados en algún momento en el pasado.
a través de Computadora sangrante