Skip to content
PortsDB

Référence des ports

Port 7687 (TCP) – Neo4j Bolt

Port par défaut du protocole binaire Bolt de Neo4j, utilisé par les pilotes et clients.

tcpRegisteredSouvent attaqué

État par défaut

Neo4j expose le protocole Bolt sur 7687, souvent sur 0.0.0.0 avec l'identifiant par défaut neo4j/neo4j jusqu'à modification. Les versions vulnérables sont exploitables par désérialisation (CVE-2021-34371).

Attaques courantes

  • Connexion avec les identifiants par défaut neo4j/neo4j via Bolt
  • Exécution de code à distance par désérialisation (CVE-2021-34371)
  • Injection Cypher depuis des couches applicatives exposées
  • Exfiltration de nœuds et de relations

CVE-2021-34371

Durcissement

  • Changer immédiatement le mot de passe neo4j par défaut ; imposer des identifiants forts
  • Lier à localhost ou à une interface privée ; ne jamais exposer 7687 à Internet
  • Exiger TLS pour les connexions Bolt
  • Filtrer 7687 vers les hôtes applicatifs ; restreindre le port HTTP (7474)
  • Maintenir Neo4j à jour (corrige CVE-2021-34371) et auditer les accès

Commande nmap

nmap -p7687 --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 7687 ?

Le port 7687 est le port par défaut du protocole Bolt de Neo4j, l'interface binaire efficace que les pilotes officiels de Neo4j utilisent pour exécuter des requêtes Cypher sur une base orientée graphe. Les applications se connectent via 7687 pour lire et écrire des nœuds et relations ; l'API HTTP et le Browser utilisent 7474.

Pourquoi c'est important pour la sécurité

Bolt fournit un accès complet en requête au graphe, qui contient souvent des données sensibles de relations et d'identités. Neo4j est livré avec l'identifiant par défaut neo4j/neo4j, et la CVE-2021-34371 est une faille de désérialisation accessible via Bolt pouvant mener à une exécution de code à distance. Un port 7687 exposé risque donc à la fois le vol de données et la compromission du serveur.

Comment c'est attaqué

Les attaquants scannent les ports 7687 ouverts et essaient les identifiants par défaut neo4j/neo4j pour exécuter du Cypher et exfiltrer le graphe. Sur les versions vulnérables, ils exploitent la désérialisation CVE-2021-34371 pour de l'exécution de code à distance, et l'injection Cypher via des applications exposées peut extraire ou modifier des données.

Liste de durcissement

Changez immédiatement le mot de passe neo4j par défaut et imposez des identifiants forts. Liez Neo4j à localhost ou à une interface privée, exigez TLS pour Bolt et filtrez 7687 vers les hôtes applicatifs tout en restreignant le port HTTP 7474. Corrigez vers une version qui résout la CVE-2021-34371 et auditez les accès. Utilisez l'extrait nmap ci-dessus pour détecter les instances exposées sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 7474Port 9200Port 27017Port 6379

Questions fréquentes

Qu'est-ce que la CVE-2021-34371 dans Neo4j Bolt ?
La CVE-2021-34371 est une vulnérabilité de désérialisation dans Neo4j accessible via le protocole Bolt sur 7687 qui peut mener à l'exécution de code à distance. Corrigez les versions affectées, exigez l'authentification et TLS, et gardez 7687 hors des réseaux non fiables.
En quoi Bolt (7687) diffère-t-il du port HTTP Neo4j (7474) ?
7687 transporte le protocole binaire Bolt utilisé par les pilotes officiels pour des requêtes performantes, tandis que 7474 sert l'API HTTP et l'interface Browser. Les deux exécutent du Cypher et doivent être authentifiés et filtrés.