今年4月Apache基金會針對圖像資料庫HugeGraph修補重大層級漏洞CVE-2024-27348,事隔3個月傳出有人將其用於攻擊行動的情況。

這項漏洞出現在gremlin元件,為命令執行弱點,影響1.0.0版以上的HugeGraph伺服器,而且是執行Java 8及Java 11版的應用程式環境。對此,Apache基金會提供1.3.0版HugeGraph予以修補,並呼籲用戶升級新版軟體之餘,還要採用Java 11的環境、啟用身分驗證系統,才能緩解漏洞,CVSS風險評分達到9.8。

事隔一個多月,滲透測試業者SecureLayer7揭露相關細節,並指出這項漏洞相當危險,攻擊者一旦利用,就能夠繞過沙箱的限制,達到執行程式碼的目的,進一步控制HugeGraph伺服器。

本週Shadowserver基金會提出警告,他們察覺有多個攻擊來源,發出POST /gremlin請求,試圖觸發CVE-2024-27348的情況,呼籲IT人員必須儘速採取行動,套用新版軟體。不過,該基金會並未透露攻擊來源的數量,也沒有公布曝露風險的HugeGraph伺服器臺數。

熱門新聞

Advertisement