如果您还没有升级到阿帕奇巨图的1.3.0版本,现在是一个好时机,因为至少有两个用于在开源图形数据库中的cvss9.8级远程命令执行错误的概念验证已经公开。
应用程序可以让开发人员建立基于图形数据库的应用程序,并在Java8和Java11环境中被广泛使用。4月下旬,阿帕奇软件基金会 公开的 在4月份1.3.0发布之前,一个关键的弱点被追踪到CV-2024-27348版本的大格服务器1.0.0。现在开发代码来寻找和破解这些系统是在GUTUB上。
这个问题,CV-2024-27348,可以被滥用来绕过沙箱限制,并利用安全管理器中缺少的反射过滤来实现远程代码执行。
有很多细节 分析 渗透测试设备安全报告警告说管理人员真的需要解决这个问题。
在4月份披露该错误时,开源项目敦促用户使用Java11升级到1.3.0版本,并使Oth系统能够修复缺陷。阿帕奇认为来自中国云安全供应商Moreecc的"6对"的人发现并报告了这个缺陷。
项目维护人员当时说:"您还可以启用"白色IP/端口"功能来提高安全性。"
希望用户已经更新到一个固定版本。但是如果你没有,那么现在就没有时间了--在坏人开始滥用POC利用代码之前。
一种持久性有机污染物, 贡献的 通过错误赏金猎人米兰约维奇,允许未经认证的用户执行操作系统命令的脆弱版本。
另一个开发者,扎耶德阿齐玛,发布了 巨蛇扫描仪 虽然它只用于伦理目的,但它将使任何人更容易找到易受攻击的巨图实现。