Apache HugeGraph-Server zawiera krytyczną podatność umożliwiającą ominięcie mechanizmu uwierzytelniania poprzez poleganie na danych zakładanych jako niezmienne (CWE-302). Luka pozwala nieuwierzytelnionemu atakującemu na pełne przejęcie kontroli nad serwerem bez jakichkolwiek uprawnień.
▸ Pokaż oryginał (EN)
Authentication Bypass by Assumed-Immutable Data vulnerability in Apache HugeGraph-Server. This issue affects Apache HugeGraph-Server: from 1.0.0 before 1.5.0. Users are recommended to upgrade to version 1.5.0, which fixes the issue.
Podatność polega na tym, że mechanizm uwierzytelniania opiera się na danych, które są traktowane jako niezmienne, lecz w rzeczywistości mogą być zmodyfikowane przez atakującego. Manipulując tymi danymi, napastnik jest w stanie ominąć weryfikację tożsamości i uzyskać dostęp do systemu bez podawania prawidłowych poświadczeń. Atak nie wymaga interakcji użytkownika ani żadnych uprzednich uprawnień i może być przeprowadzony zdalnie przez sieć.
Atakujący może uzyskać pełny, nieautoryzowany dostęp do Apache HugeGraph-Server, co prowadzi do naruszenia poufności, integralności oraz dostępności danych i usługi. W praktyce oznacza to możliwość odczytu, modyfikacji lub usunięcia danych grafowych oraz potencjalne przejęcie kontroli nad systemem.
Należy niezwłocznie zaktualizować Apache HugeGraph-Server do wersji 1.5.0, która zawiera poprawkę eliminującą opisaną podatność.
Apache HugeGraph-Server w wersjach od 1.0.0 do 1.4.x (przed 1.5.0)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Hugegraph
APPApache1.0.0 – 1.5.0 (bez)
Powiązane podatności
RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia
Pominięcie uwierzytelnienia przez spoofing w Apache HugeGraph-Server
A remote code execution vulnerability exists where a malicious Raft node can exploit insecure Hessian deserial...
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację