Apache Traffic Control 8.0.0至8.0.1版本存在一个严重SQL注入漏洞CVE-2024-45387，该漏洞存在于Traffic Ops模块中，允许具有特定角色的特权用户通过特制PUT请求执行任意SQL命令。漏洞CVSS评分高达9.9，威胁巨大。攻击者可借此篡改数据库内容、破坏系统或泄露数据。腾讯云鼎安全实验室发现了此漏洞，官方已发布补丁8.0.2。研究人员公开了PoC漏洞利用代码，加剧了风险。Apache Traffic Control是广泛使用的CDN开源实现，及时更新和加强访问控制至关重要。

🚨CVE-2024-45387是Apache Traffic Control 8.0.0至8.0.1版本Traffic Ops模块中的一个关键SQL注入漏洞，CVSS评分高达9.9，威胁级别极高。

🛡️此漏洞允许具有“admin”、“federation”、“operations”、“portal”或“steering”等角色的特权用户，通过发送特制的PUT请求执行任意SQL命令，攻击者可借此篡改数据库、破坏系统或泄露数据。

🚀腾讯云鼎安全实验室发现了该漏洞，官方已发布补丁版本Apache Traffic Control 8.0.2，建议用户立即更新。同时，研究人员公开了PoC漏洞利用代码，加剧了风险，未及时更新的系统面临被攻击的威胁。

🌐Apache Traffic Control是一个开源CDN实现，被广泛用于管理和优化网络流量，该漏洞的出现对使用该系统的企业构成严重威胁。及时打补丁和加强访问控制是降低风险的关键措施。

安全研究人员 Abdelrhman Zayed 与 Mohamed Abdelhady 合作发布了针对 CVE-2024-45387 的概念验证 (PoC) 漏洞利用代码，这是 Apache Traffic Control 中的一个关键 SQL 注入漏洞。该漏洞的 CVSS 得分接近最高值 9.9（满分 10 分），表明一旦被利用，将可能造成重大损失。根据 ASF 的公告，CVE-2024-45387 存在于 Apache Traffic Control 8.0.0 至 8.0.1 版本的 Traffic Ops 模块中。它允许具有 “admin”、“federation”、“operations”、“portal ”或 “steering ”等角色的特权用户通过发送特制的 PUT 请求，对数据库执行任意 SQL 命令。项目维护者强调了该问题的严重性： “在 Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL。”攻击者可利用此漏洞篡改敏感数据库内容、破坏系统完整性或外泄重要数据。该漏洞由腾讯云鼎安全实验室的袁洛发现并报告。ASF 团队及时发布了补丁版本 Apache Traffic Control 8.0.2，解决了这一漏洞。研究人员 Abdelrhman Zayed 和 Mohamed Abdelhady 在 GitHub 上发布了针对 CVE-2024-45387 的概念验证 (PoC) 漏洞利用程序，这进一步增加了该漏洞的紧迫性。PoC 的发布可能会加速恶意行为者利用未打补丁系统的尝试。Apache Traffic Control 是 CDN 的强大开源实现，可实现高效、可扩展的内容交付。它于 2018 年 6 月被 ASF 认定为顶级项目，被广泛用于管理和优化网络流量。CVE-2024-45387的PoC漏洞已经流传开来，其CVSS评分接近满分，对使用Apache流量控制的企业来说是一个重大威胁。及时打补丁和强大的访问控制对于最大限度地降低利用风险至关重要。