Apache Traffic Control 是一个流行的开源平台,用于构建大规模内容交付网络 (CDN)。该漏洞被认定为 CVE-2024-45387,CVSS 得分为 9.9,攻击者可利用该漏洞执行恶意 SQL 代码,从而可能危及敏感数据并中断关键服务。
Apache Traffic Control 是一个高度分布式和可扩展的平台,可帮助运营商建立强大的 CDN。该平台围绕 Apache Traffic Server 构建,可确保大规模高效交付内容,满足大型和小型运营商的需求。Traffic Control 的关键组件包括管理 CDN 配置和交互的 Traffic Ops。
该漏洞源于 Apache Traffic Control 8.0.0 和 8.0.1 版本的 Traffic Ops 组件中的 SQL 注入漏洞。“官方漏洞报告解释说:”Traffic Ops 中的 SQL 注入漏洞……允许角色为‘admin’、‘federation’、‘operations’、‘portal’或‘steering’的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL。
这意味着拥有一定权限访问 Traffic Ops 的恶意行为者可以利用这个漏洞操纵底层数据库。后果可能包括数据泄露和未经授权的访问,甚至完全接管系统。
CVE-2024-45387 漏洞由腾讯云安全实验室的罗元发现,并已在 Apache Traffic Control 8.0.2 版本中得到解决。
强烈建议使用 Apache Traffic Control 的企业立即升级到最新版本。如果您运行的是受影响的 Traffic Ops 版本,建议用户升级到 Apache Traffic Control 8.0.2 版本。