Podatność klasy Authentication Bypass by Spoofing w Apache HugeGraph-Server umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów bez podania prawidłowych danych logowania. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach dostępnych z sieci.
▸ Pokaż oryginał (EN)
Authentication Bypass by Spoofing vulnerability in Apache HugeGraph-Server.This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.3.0. Users are recommended to upgrade to version 1.3.0, which fixes the issue.
Błąd sklasyfikowany jako CWE-290 (Authentication Bypass by Spoofing) polega na tym, że mechanizm uwierzytelnienia serwera można obejść poprzez sfałszowanie (spoofing) odpowiednich elementów żądania. Atakujący wysyła spreparowane żądanie sieciowe, które system błędnie traktuje jako uwierzytelnione. Nie jest wymagana żadna interakcja po stronie użytkownika ani posiadanie jakichkolwiek uprawnień konta.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych oraz możliwość modyfikacji zasobów zarządzanych przez Apache HugeGraph-Server, co przekłada się na wysokie ryzyko naruszenia poufności i integralności danych.
Należy zaktualizować Apache HugeGraph-Server do wersji 1.3.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Apache HugeGraph-Server w wersjach od 1.0.0 do poniżej 1.3.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Hugegraph
APPApache1.0.0 – 1.3.0 (bez)
Powiązane podatności
RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia
Authentication Bypass w Apache HugeGraph-Server (zakładane niezmienne dane)
A remote code execution vulnerability exists where a malicious Raft node can exploit insecure Hessian deserial...
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację