今年4月Apache基金会针对图像数据库HugeGraph修补重大层级漏洞CVE-2024-27348，事隔3个月传出有人将其用于攻击行动的情况。

这项漏洞出现在gremlin组件，为命令运行弱点，影响1.0.0版以上的HugeGraph服务器，而且是运行Java 8及Java 11版的应用程序环境。对此，Apache基金会提供1.3.0版HugeGraph予以修补，并呼吁用户升级新版软件之余，还要采用Java 11的环境、激活身分验证系统，才能缓解漏洞，CVSS风险评分达到9.8。

事隔一个多月，渗透测试业者SecureLayer7揭露相关细节，并指出这项漏洞相当危险，攻击者一旦利用，就能够绕过沙箱的限制，达到运行代码的目的，进一步控制HugeGraph服务器。

本周Shadowserver基金会提出警告，他们察觉有多个攻击来源，发出POST /gremlin请求，试图触发CVE-2024-27348的情况，呼吁IT人员必须尽速采取行动，套用新版软件。不过，该基金会并未透露攻击来源的数量，也没有公布曝露风险的HugeGraph服务器台数。