安全研究人员 Abdelrhman Zayed 与 Mohamed Abdelhady 合作发布了针对 CVE-2024-45387 的概念验证 (PoC) 漏洞利用代码,这是 Apache Traffic Control 中的一个关键 SQL 注入漏洞。该漏洞的 CVSS 得分接近最高值 9.9(满分 10 分),表明一旦被利用,将可能造成重大损失。
根据 ASF 的公告,CVE-2024-45387 存在于 Apache Traffic Control 8.0.0 至 8.0.1 版本的 Traffic Ops 模块中。它允许具有 “admin”、“federation”、“operations”、“portal ”或 “steering ”等角色的特权用户通过发送特制的 PUT 请求,对数据库执行任意 SQL 命令。
项目维护者强调了该问题的严重性: “在 Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞,允许特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL。”
攻击者可利用此漏洞篡改敏感数据库内容、破坏系统完整性或外泄重要数据。
该漏洞由腾讯云鼎安全实验室的袁洛发现并报告。ASF 团队及时发布了补丁版本 Apache Traffic Control 8.0.2,解决了这一漏洞。
研究人员 Abdelrhman Zayed 和 Mohamed Abdelhady 在 GitHub 上发布了针对 CVE-2024-45387 的概念验证 (PoC) 漏洞利用程序,这进一步增加了该漏洞的紧迫性。PoC 的发布可能会加速恶意行为者利用未打补丁系统的尝试。
Apache Traffic Control 是 CDN 的强大开源实现,可实现高效、可扩展的内容交付。它于 2018 年 6 月被 ASF 认定为顶级项目,被广泛用于管理和优化网络流量。
CVE-2024-45387的PoC漏洞已经流传开来,其CVSS评分接近满分,对使用Apache流量控制的企业来说是一个重大威胁。及时打补丁和强大的访问控制对于最大限度地降低利用风险至关重要。
发表评论
您还未登录,请先登录。
登录