CRITICAL🇬🇧 English

CVE-2024-27349

Pominięcie uwierzytelnienia przez spoofing w Apache HugeGraph-Server

CVSS 9.1v3.1pub. 2024-04-22upd. 2025-06-30

Podatność klasy Authentication Bypass by Spoofing w Apache HugeGraph-Server umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów bez podania prawidłowych danych logowania. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach dostępnych z sieci.

Pokaż oryginał (EN)

Authentication Bypass by Spoofing vulnerability in Apache HugeGraph-Server.This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.3.0. Users are recommended to upgrade to version 1.3.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-290 (Authentication Bypass by Spoofing) polega na tym, że mechanizm uwierzytelnienia serwera można obejść poprzez sfałszowanie (spoofing) odpowiednich elementów żądania. Atakujący wysyła spreparowane żądanie sieciowe, które system błędnie traktuje jako uwierzytelnione. Nie jest wymagana żadna interakcja po stronie użytkownika ani posiadanie jakichkolwiek uprawnień konta.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych oraz możliwość modyfikacji zasobów zarządzanych przez Apache HugeGraph-Server, co przekłada się na wysokie ryzyko naruszenia poufności i integralności danych.

Mitygacja

Należy zaktualizować Apache HugeGraph-Server do wersji 1.3.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Kogo dotyczy

Apache HugeGraph-Server w wersjach od 1.0.0 do poniżej 1.3.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Hugegraph

    APP
    Apache
    1.0.0 – 1.3.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-27348CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia

CVE-2024-43441CRITICAL9.8PL ✓ten sam produkt

Authentication Bypass w Apache HugeGraph-Server (zakładane niezmienne dane)

CVE-2025-26866HIGH8.8ten sam produkt

A remote code execution vulnerability exists where a malicious Raft node can exploit insecure Hessian deserial...

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację

CVE-2024-27349 — Pominięcie uwierzytelnienia przez spoofing w Apache HugeGraph-Server — CRITICAL 9.1 | CVEbaza.pl