Apache Traffic Control 爆出严重SQL注入漏洞，编号CVE-2024-45387，CVSS评分高达9.9。攻击者可利用此漏洞在数据库中执行任意SQL命令，影响版本包括8.0.0至8.0.1。具有管理员等角色的特权用户通过特制PUT请求可触发此漏洞。该漏洞由腾讯云鼎安全实验室研究员罗远发现并报告，目前已在8.0.2版本中修复。此外，ASF还修复了Apache HugeGraph-Server的身份验证绕过漏洞和Apache Tomcat的远程代码执行漏洞。建议用户立即更新至最新版本以防范潜在威胁。

🚨 Apache Traffic Control 存在SQL注入漏洞(CVE-2024-45387)，评分高达9.9，攻击者可执行任意SQL命令。

🛡️ 该漏洞影响Traffic Control 8.0.0至8.0.1版本，特权用户通过特制PUT请求可触发，已在8.0.2版本中修复。

👨‍💻 此漏洞由腾讯云鼎安全实验室研究员罗远发现并报告，同时ASF还修复了其他两个漏洞，包括Apache HugeGraph-Server的身份验证绕过漏洞和Apache Tomcat的远程代码执行漏洞。

🚀 建议用户立即更新至软件最新版本，以防范潜在威胁，确保系统安全。

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。

该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。

项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ”

Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。

腾讯云鼎安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。

此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。

它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。

建议用户将其实例更新到软件的最新版本，以防范潜在威胁。

 

 

---

转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/AlMi5CgBPNhmkSF0h-fhzQ

封面来源于网络，如有侵权请联系删除