Aggiornamenti recenti Settembre 15th, 2025 6:00 PM
Lug 18, 2024 Marina Londei Attacchi, News, RSS, Vulnerabilità 0
Apache HugeGraph-Server è sotto attacco: i cybercriminali stanno sfruttando una vulnerabilità critica del database per eseguire codice remoto sulle istanze colpite.
HugeGraph è un graph database open-source implementato nel framework TinkerPop3. Gli scenari applicativi del database includono l’esplorazione delle relazioni tra oggetti (nodi), analisi associative, ricerca di percorsi, estrazione di feature, clustering dei dati, community detection e grafi di conoscenza.
Pixabay
Il bug, CVE-2024-27348, colpisce l’API Gremlin graph traversal language, il linguaggio funzionale di Apache ThinkerPop che consente agli utenti di esprimere query complesse in maniera semplice e ridotta sul property graph della loro applicazione.
I ricercatori di SecureLayer7 hanno approfondito l’exploit della vulnerabilità di Apache spiegando che può essere usata per bypassare i controlli e le restrizioni della sandbox. Nel dettaglio, il SecurityManager di Gremlin manca del reflection filtering e consente a un attaccante di manipolare diverse funzioni della classe, permettendogli in ultima analisi di eludere i controlli della sandbox.
A individuare gli attacchi sono stati i ricercatori di The Shadowserver Foundation: “Stiamo osservando tentativi di sfruttamento della CVE-2024-27348 di Apache HugeGraph-Server “POST /gremlin” da più sorgenti. Il codice della PoC è disponibile dall’inizio di giugno. Se state eseguendo HugeGraph, assicuratevi di aggiornarlo” hanno spiegato in un post su X.
Le versioni vulnerabili di HugeGraph-Server sono dalla 1.0.0 a prima della 1.3.0 in Java 8 e Java 11. Apache consiglia di aggiornare il prima possibile il database alla versione 1.3.0 con Java 11 e abilitare il sistema Auth.
Set 08, 2025 0
Set 03, 2025 0
Ago 11, 2025 0
Lug 28, 2025 0
Set 15, 2025 0
Set 15, 2025 0
Set 12, 2025 0
Set 11, 2025 0
Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Set 10, 2025 0
Google dovrà pagare una multa salata da 425 milioni per...