漏洞标题
N/A
漏洞描述信息
Neo4j 到 3.4.18(启用shell服务器)暴露了一个 RMI 服务,它可以随机解析 Java 对象,例如通过 setSessionVariable。由于存在可攻击的gadget链,因此攻击者可以利用此进行远程代码执行。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Neo4j through 3.4.18 (with the shell server enabled) exposes an RMI service that arbitrarily deserializes Java objects, e.g., through setSessionVariable. An attacker can abuse this for remote code execution because there are dependencies with exploitable gadget chains.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Neo4j 代码问题漏洞
漏洞描述信息
Neo4j是美国Neo4j公司的一款基于Java的且完全兼容ACID的图形数据库,它支持数据迁移、附加组件等。 neo4j存在代码问题漏洞,该漏洞源于任意反序列化 Java 对象的 RMI 服务。攻击者利用该漏洞可以造成远程代码执行。
CVSS信息
N/A
漏洞类别
代码问题