CVE-2025-26866:Apache HugeGraph-Server反序列化漏洞深度解析

本文详细分析了Apache HugeGraph-Server中编号为CVE-2025-26866的安全漏洞。该漏洞属于CWE-502类别,攻击者可利用不安全的Hessian反序列化在PD存储中执行远程代码。修复方案包括实施基于IP的身份验证和严格的类白名单机制。

CVE-2025-26866: Apache软件基金会Apache HugeGraph-Server中存在CWE-502不受信任数据反序列化漏洞

严重性: 高 类型: 漏洞 CVE编号: CVE-2025-26866

漏洞描述 存在一个远程代码执行漏洞,恶意Raft节点可利用PD存储中不安全的Hessian反序列化进行攻击。修复方案通过强制实施基于IP的身份验证来限制集群成员资格,并执行严格的类白名单机制,以强化Hessian序列化过程,抵御对象注入攻击。

建议用户升级至修复了此问题的1.7.0版本。

技术细节

  • 数据版本: 5.2
  • 分配者简称: apache
  • 发布日期: 2025-02-17T10:32:01.997Z
  • Cvss版本: null
  • 状态: 已发布
  • 威胁ID: 693be422406b3dd4e02223e1
  • 添加到数据库时间: 2025年12月12日 上午9:45:06
  • 最后更新时间: 2025年12月12日 上午9:45:16
  • 来源: CVE数据库 V5

相关威胁

  • CVE-2025-40829: 西门子Simcenter Femap中存在CWE-908未初始化资源使用漏洞(严重性:高)
  • CVE-2025-58137: Apache软件基金会Apache Fineract中存在CWE-639通过用户控制密钥导致的授权绕过漏洞(严重性:未知)
  • CVE-2025-58130: Apache软件基金会Apache Fineract中存在CWE-522凭证保护不足漏洞(严重性:未知)
  • CVE-2025-23408: Apache软件基金会Apache Fineract中存在CWE-521弱密码要求漏洞(严重性:高)
  • CVE-2025-14074: addonsorg PDF for Contact Form 7 + Drag and Drop Template Builder中存在CWE-862授权缺失漏洞(严重性:中)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次