Apache图像数据库HugeGraph重大层级漏洞出现攻击行动

今年4月Apache基金会针对图像数据库HugeGraph修补重大层级漏洞CVE-2024-27348，时隔3个月传出有人将其用于攻击行动的情况。

这项漏洞出现在gremlin组件，为命令执行弱点，影响1.0.0版以上的HugeGraph服务器，而且是执行Java 8及Java 11版的应用程序环境。对此，Apache基金会提供1.3.0版HugeGraph进行修补，并呼吁用户升级新版软件之余，还要采用Java 11的环境、激活身份验证系统，才能缓解漏洞，CVSS风险评分达到9.8。

时隔一个多月，渗透测试企业SecureLayer7披露相关细节，并指出这项漏洞相当危险，攻击者一旦利用，就能够绕过沙箱的限制，达到执行程序代码的目的，进一步控制HugeGraph服务器。

本周Shadowserver基金会提出警告，他们发现有多个攻击来源，发出POST/gremlin请求，试图触发CVE-2024-27348的情况，呼吁IT人员必须尽快采取行动，套用新版软件。不过，该基金会并未透露攻击来源的数量，也没有公布暴露风险的HugeGraph服务器台数。