Kritische RCE-Schwachstelle in Apache HugeGraph gefunden

Eine schwerwiegende Remote-Code-Execution-Schwachstelle (CVE-2024-27348) wurde in Apache HugeGraph Server in Versionen vor 1.3.0 entdeckt. Angreifer können durch Gremlin, eine Skriptsprache für Graphdatenbanken, die Sandbox-Einschränkungen umgehen und vollständige Kontrolle über den Server erlangen. Diese Schwachstelle hat einen CVSS-Score von 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).

HugeGraph ist eine leistungsstarke, quelloffene Graphdatenbank, die für den Umgang mit großen Graphdatenmengen und komplexen Abfragen konzipiert ist. Entwickelt von Baidu, unterstützt HugeGraph verschiedene Datenmodelle und Abfragesprachen, darunter Gremlin, Cypher und SPARQL. Das System wurde entwickelt, um den Anforderungen von Baidus eigenen Anwendungen gerecht zu werden, und wurde schließlich als Open-Source-Projekt veröffentlicht.

CVE-2024-27348 ermöglicht es Angreifern, über Gremlin-Kommandos die Sicherheitsmechanismen des HugeGraph Servers zu umgehen. Dies wird durch unzureichende Filterung von Reflexionen in der Sicherheitsverwaltung ermöglicht, wodurch unautorisierte Befehle ausgeführt werden können.

Die Sicherheitslücke wurde durch mehrere Änderungen in den Quellcode-Dateien wie LoginAPI.java, HugeFactoryAuthProxy.java und HugeSecurityManager.java geschlossen. Die wichtigsten Anpassungen umfassen:

  • LoginAPI.java: Verbesserung des Authentifizierungsprozesses durch Hinzufügen von HTTP-Header-Überprüfungen.
  • HugeFactoryAuthProxy.java: Einführung einer Funktion zur Filterung kritischer Systemklassen.
  • HugeSecurityManager.java: Implementierung von Sicherheitsüberprüfungen, um den Zugriff auf sensible Klassen und Methoden zu verhindern.

Benutzer sollten sofort auf die neueste Version von HugeGraph aktualisieren (Version 1.3.0 oder höher), um diese Schwachstelle zu schließen. Falls ein Upgrade nicht sofort möglich ist, sollte der Zugriff auf die Gremlin-Schnittstelle stark eingeschränkt werden, um die Gefahr einer Ausnutzung zu minimieren.

Ein Proof-of-Concept existiert bereits und zeigt, dass Angreifer durch geschicktes Manipulieren von Gremlin-Skripten und Reflektionsaufrufen Systembefehle ausführen können. Der Patch filtert nun kritische Systemklassen und fügt neue Sicherheitsüberprüfungen hinzu, um solche Angriffe zu verhindern.

Related Posts

Operations Secshow - chinesische DNS Sniffing Kampagne späht weltweit Seiten aus

Secshow ist der Name einer chinesischen Gruppe, die über das China Education and Research Network (CERNET) globale DNS-Abfragen durchführt. Diese Abfragen zielen darauf ab, DNS-Antworten von offenen Resolvern zu ermitteln und zu messen. Ein offener Resolver ist ein Gerät, das durch fehlerhafte Konfiguration jede DNS-Anfrage aus dem Internet auflöst oder weiterleitet. Solche offenen Resolver stellen ein Sicherheitsrisiko dar und werden häufig für DNS-gestützte DDoS-Angriffe genutzt.

Read More

SQL Injection Sicherheitslücke in Email Subscribers Plugin für WordPress entdeckt

Am 4. Juni 2024 wurde eine schwerwiegende Sicherheitslücke in dem Plugin “Email Subscribers by Icegram Express” für WordPress öffentlich bekannt gemacht. Diese Schwachstelle ermöglicht eine nicht authentifizierte SQL-Injection über den ‘hash’-Parameter in allen Versionen bis einschließlich 5.7.20. Das Plugin “Email Subscribers by Icegram Express” wird für E-Mail-Marketing, Newsletter und Automatisierung auf WordPress- und WooCommerce-Websites verwendet

Read More

Datenleck: Hacker bietet Daten von 100.000 Facebook Nutzern aus 2024 zum Verkauf an

Ein Hacker behauptet, eine Datenbank von Facebook-Nutzern aus dem Jahr 2024 zu besitzen, die über 100.000 Datensätze beinhaltet. Die Datenbank enthält angeblich vollständige Namen, Profile, E-Mail-Adressen, Telefonnummern, Registrierungsdaten (DR) und Standorte der Nutzer. Noch gibt es weder ein Statement von Facebook, noch Beweise für die Echtheit der Daten.

Read More