一、 漏洞 CVE-2021-34371 基础信息
漏洞信息
                                        # N/A

## 概述
Neo4j在3.4.18及之前版本中,当启用shell服务器时,暴露了一个RMI服务,该服务会任意反序列化Java对象。攻击者可以利用这一点执行远程代码。

## 影响版本
- 版本:3.4.18及之前版本

## 细节
攻击者可以通过`setSessionVariable`等方法,利用存在可利用的gadget链依赖关系,执行远程代码。

## 影响
由于任意反序列化Java对象,攻击者可以实现远程代码执行,从而可能控制服务器。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Neo4j through 3.4.18 (with the shell server enabled) exposes an RMI service that arbitrarily deserializes Java objects, e.g., through setSessionVariable. An attacker can abuse this for remote code execution because there are dependencies with exploitable gadget chains.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Neo4j 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Neo4j是美国Neo4j公司的一款基于Java的且完全兼容ACID的图形数据库,它支持数据迁移、附加组件等。 neo4j存在代码问题漏洞,该漏洞源于任意反序列化 Java 对象的 RMI 服务。攻击者利用该漏洞可以造成远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-34371 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2021-34371.jar https://github.com/zwjjustdoit/CVE-2021-34371.jar POC详情
2 None https://github.com/Threekiii/Awesome-POC/blob/master/%E6%95%B0%E6%8D%AE%E5%BA%93%E6%BC%8F%E6%B4%9E/Neo4j%20Shell%20Server%20%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%20CVE-2021-34371.md POC详情
3 https://github.com/vulhub/vulhub/blob/master/neo4j/CVE-2021-34371/README.md POC详情
三、漏洞 CVE-2021-34371 的情报信息