Si vous n’avez pas encore mis à niveau vers la version 1.3.0 d’Apache HugeGraph, c’est le moment idéal car au moins deux exploits de preuve de concept pour une faille d’exécution de commande distante évaluée à 9,8 CVSS dans la base de données de graphe open-source ont été rendus publics. Apache HugeGraph permet aux développeurs de construire des applications basées sur des bases de données de graphe et est couramment utilisé dans les environnements Java 8 et Java 11. Fin avril, la Fondation Apache Software a révélé une faille critique, identifiée sous le nom de CVE-2024-27348, dans les versions de HugeGraph-Server antérieures à la version 1.3.0 d’avril. Maintenant, le code d’exploit pour trouver et craquer de tels systèmes est sur GitHub. Le problème, CVE-2024-27348, peut être exploité pour contourner les restrictions de sandbox et permettre l’exécution de code à distance en utilisant des commandes Gremlin spécialement conçues pour exploiter le filtrage de réflexion manquant dans le SecurityManager. Il existe une analyse plus détaillée de CVE provenant de SecureLayer7, un organisme de tests de pénétration, avertissant que les administrateurs doivent vraiment corriger cela. Si exploité, la faille donne finalement au pirate un contrôle total sur le serveur et lui permet de voler des données confidentielles, de fouiller dans le réseau interne de l’organisation victime, de déployer des rançongiciels ou d’accomplir tout autre nombre d’actes malveillants.
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
