CRITICAL🇬🇧 English

CVE-2024-43441

Authentication Bypass w Apache HugeGraph-Server (zakładane niezmienne dane)

CVSS 9.8v3.1pub. 2024-12-24upd. 2025-07-01

Apache HugeGraph-Server zawiera krytyczną podatność umożliwiającą ominięcie mechanizmu uwierzytelniania poprzez poleganie na danych zakładanych jako niezmienne (CWE-302). Luka pozwala nieuwierzytelnionemu atakującemu na pełne przejęcie kontroli nad serwerem bez jakichkolwiek uprawnień.

Pokaż oryginał (EN)

Authentication Bypass by Assumed-Immutable Data vulnerability in Apache HugeGraph-Server. This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.5.0. Users are recommended to upgrade to version 1.5.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że mechanizm uwierzytelniania opiera się na danych, które są traktowane jako niezmienne, lecz w rzeczywistości mogą być zmodyfikowane przez atakującego. Manipulując tymi danymi, napastnik jest w stanie ominąć weryfikację tożsamości i uzyskać dostęp do systemu bez podawania prawidłowych poświadczeń. Atak nie wymaga interakcji użytkownika ani żadnych uprzednich uprawnień i może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może uzyskać pełny, nieautoryzowany dostęp do Apache HugeGraph-Server, co prowadzi do naruszenia poufności, integralności oraz dostępności danych i usługi. W praktyce oznacza to możliwość odczytu, modyfikacji lub usunięcia danych grafowych oraz potencjalne przejęcie kontroli nad systemem.

Mitygacja

Należy niezwłocznie zaktualizować Apache HugeGraph-Server do wersji 1.5.0, która zawiera poprawkę eliminującą opisaną podatność.

Kogo dotyczy

Apache HugeGraph-Server w wersjach od 1.0.0 do 1.4.x (przed 1.5.0)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Hugegraph

    APP
    Apache
    1.0.0 – 1.5.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-27348CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia

CVE-2024-27349CRITICAL9.1PL ✓ten sam produkt

Pominięcie uwierzytelnienia przez spoofing w Apache HugeGraph-Server

CVE-2025-26866HIGH8.8ten sam produkt

A remote code execution vulnerability exists where a malicious Raft node can exploit insecure Hessian deserial...

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2024-38856CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację