Apache Traffic Control 平台存在一个高危 SQL 注入漏洞 CVE-2024-45387，该漏洞影响 8.0.0 和 8.0.1 版本的 Traffic Ops 组件。具有特定权限的用户可以通过发送特制 PUT 请求执行任意 SQL 代码，从而可能导致敏感数据泄露、未经授权的访问甚至系统完全被接管。此漏洞由腾讯云安全实验室发现，并已在 8.0.2 版本中修复。强烈建议所有受影响的用户立即升级到最新版本，以避免潜在的风险和损失。

🚨 Apache Traffic Control 存在高危 SQL 注入漏洞 CVE-2024-45387，CVSS 评分高达 9.9。

🛡️ 该漏洞影响 8.0.0 和 8.0.1 版本的 Traffic Ops 组件，允许特定权限用户执行任意 SQL 代码。

🔒 漏洞利用可能导致数据泄露、未经授权访问，甚至完全控制系统，后果严重。

✅ 漏洞已在 Apache Traffic Control 8.0.2 版本中修复，建议用户立即升级。

Apache Traffic Control 是一个流行的开源平台，用于构建大规模内容交付网络 (CDN)。该漏洞被认定为 CVE-2024-45387，CVSS 得分为 9.9，攻击者可利用该漏洞执行恶意 SQL 代码，从而可能危及敏感数据并中断关键服务。Apache Traffic Control 是一个高度分布式和可扩展的平台，可帮助运营商建立强大的 CDN。该平台围绕 Apache Traffic Server 构建，可确保大规模高效交付内容，满足大型和小型运营商的需求。Traffic Control 的关键组件包括管理 CDN 配置和交互的 Traffic Ops。该漏洞源于 Apache Traffic Control 8.0.0 和 8.0.1 版本的 Traffic Ops 组件中的 SQL 注入漏洞。“官方漏洞报告解释说：”Traffic Ops 中的 SQL 注入漏洞……允许角色为‘admin’、‘federation’、‘operations’、‘portal’或‘steering’的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL。这意味着拥有一定权限访问 Traffic Ops 的恶意行为者可以利用这个漏洞操纵底层数据库。后果可能包括数据泄露和未经授权的访问，甚至完全接管系统。CVE-2024-45387 漏洞由腾讯云安全实验室的袁洛发现，并已在 Apache Traffic Control 8.0.2 版本中得到解决。强烈建议使用 Apache Traffic Control 的企业立即升级到最新版本。如果您运行的是受影响的 Traffic Ops 版本，建议用户升级到 Apache Traffic Control 8.0.2 版本。