美国的网络安全和基础设施安全机构(CISA)为其已知的被剥削漏洞(KEV)目录增加了Apache巨大的服务器脆弱性,表明该错误在野外积极利用。
该增加还迫使联邦机构在10月9日的截止日期之前应用补丁,或者完全停止使用脆弱的产品。
所讨论的错误是Gremlin Graph Traversal语言API中的远程命令执行缺陷。它的严重程度得分为9.8,并在1.3.0之前影响软件的所有版本。它被跟踪为CVE-2024-27348,并在几个月前进行了修补。
你可能喜欢
美国政府警告机构确保其备份免受Nakivo安全问题的安全
野外利用的crushFTP漏洞,添加到CISA KEV数据库中
Apache Parquet用户警告最大风险安全漏洞,现在被告知要修补
另外四个错误
除了安装补丁外,还建议用户使用Java 11并启用Auth System。此外,它们应该启用“白名单-IP/端口”功能,因为它可以提高RESTFUL-API执行的安全性。
今年7月中旬,Shadowserver基金会说,它发现了该缺陷的证据,并补充说,自6月初以来,POC代码一直在公开。
该组织当时说:“如果您运行大型图,请确保更新。”
Apache Gubergraph是一个开源图数据库系统,支持数十亿个顶点和边缘的存储和查询。使用Apache TinkerPop3框架实现,它与Gremlin查询语言完全兼容,允许进行复杂的图形查询和分析。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
除了RCE漏洞外,CISA还向KEV目录中添加了另外四个缺陷 - Microsoft SQL Server报告服务远程代码执行漏洞(CVE-2020-0618),Microsoft Windows Windows任务调度程序特权升级漏洞漏洞(CVE-2019-1069)(CVE-2019-1069),Oracle JDEVELECER远程远程远程执行(CVE-21)。Oracle Weblogic Server远程代码执行漏洞(CVE-2020-14644)。
将这些错误添加到目录中并不意味着它们目前正在被利用,BleepingComputer报告,这只是意味着它们在过去的某个时候被利用。
通过BleepingComputer
Techradar Pro的更多信息
apache巨照片用户告诉立即修补以保护这个危险的虫子的列表,如今是当今最好的端点安全工具的清单
