【安全资讯】Apache Traffic Control发现严重SQL注入漏洞CVE-2024-45387

概要：

近期，安全研究人员Abdelrhman Zayed与Mohamed Abdelhady合作，发布了针对Apache Traffic Control中CVE-2024-45387的概念验证（PoC）漏洞利用代码。这一严重的SQL注入漏洞的CVSS评分高达9.9，表明其被利用后可能造成重大损害。该漏洞的存在引发了广泛关注，尤其是在使用Apache Traffic Control的组织中。

主要内容：

CVE-2024-45387漏洞位于Apache Traffic Control版本8.0.0至8.0.1的Traffic Ops模块中。该漏洞允许具有特权角色（如‘admin’、‘federation’、‘operations’、‘portal’或‘steering’）的用户通过发送特制的PUT请求，执行任意SQL命令。这意味着攻击者可以操控敏感数据库内容，破坏系统完整性，甚至窃取关键数据。

漏洞由腾讯云丁安全实验室的Yuan Luo发现并报告，Apache软件基金会（ASF）团队迅速发布了修补版本Apache Traffic Control 8.0.2，以修复该漏洞。然而，随着PoC的发布，恶意行为者可能会加速对未打补丁系统的攻击。

Apache Traffic Control是一个强大的开源内容分发网络（CDN）实现，广泛用于管理和优化网络流量。由于PoC的流通和接近满分的CVSS评分，CVE-2024-45387对使用Apache Traffic Control的组织构成了重大威胁。因此，及时打补丁和加强访问控制是降低被利用风险的关键。