La Apache Software Foundation (ASF) ha enviado actualizaciones de seguridad para acometer una equivocación de seguridad crítica en el control de tráfico que, si se explota con éxito, podría permitir a un atacante ejecutar comandos arbitrarios del jerga de consulta estructurado (SQL) en la colchoneta de datos.
La vulnerabilidad de inyección SQL, rastreada como CVE-2024-45387, tiene una calificación de 9,9 sobre 10,0 en el sistema de puntuación CVSS.
«Una vulnerabilidad de inyección SQL en Traffic Ops en Apache Traffic Control = 8.0.0 permite a un legatario privilegiado con rol ‘admin’, ‘coalición’, ‘operaciones’, ‘portal’ o ‘dirección’ ejecutar SQL injusto en la colchoneta de datos enviando una solicitud PUT especialmente diseñada», dijeron los mantenedores del esquema en un aviso.
Apache Traffic Control es una implementación de código libre de una red de entrega de contenido (CDN). Fue anunciado como esquema de parada nivel (TLP) por la AS en junio de 2018.
Al investigador del Laboratorio de Seguridad Tencent YunDing, Yuan Luo, se le atribuye el descubrimiento y el crónica de la vulnerabilidad. Ha sido parcheado en la interpretación Apache Traffic Control 8.0.2.
El incremento se produce cuando la ASF resolvió una equivocación de omisión de autenticación en Apache HugeGraph-Server (CVE-2024-43441) desde las versiones 1.0 a 1.3. Se ha publicado una posibilidad para la deficiencia en la interpretación 1.5.0.
Todavía sigue al extensión de un parche para una vulnerabilidad importante en Apache Tomcat (CVE-2024-56337) que podría resultar en la ejecución remota de código (RCE) bajo ciertas condiciones.
Se recomienda a los usuarios que actualicen sus instancias a las últimas versiones del software para defenderse contra posibles amenazas.