• 漏洞编号：CVE-2024-27348
• 漏洞等级：严重
• 漏洞标签：POC已公开
• 发布时间：2024-04-22

漏洞描述

Apache HugeGraph\-Server 是一个开源大规模图数据库管理系统。Gremlin 用于在图数据库上进行数据查询和操作。CVE\-2024\-27348 中，由于1.0.0到1.3.0之前版本默认未开启身份验证，攻击者可通过直接访问RESTful API 执行Gremlin命令，查询其中数据。

修复建议

1. 升级hugegraph到 1.3.0 或更高版本 2. 生产环境建议开启身份验证，并启用IP/端口白名单功能以增强安全性。

参考链接

http://www.openwall.com/lists/oss-security/2024/04/22/3

https://hugegraph.apache.org/docs/config/config-authentication/#configure-user-authentication

https://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9

https://avd.aliyun.com/detail?id=AVD-2024-27348