聲明：該文章來自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

這是近期 ASF 基金會(huì)披露的第三個(gè)安全問題，此次安全公告主要涉及 CVE-2024-45387 漏洞，該漏洞由騰訊云鼎安全實(shí)驗(yàn)室的研究人員報(bào)告。

漏洞位于 Apache Traffic Control 流量控制組件中，該組件可以建立內(nèi)容分發(fā)網(wǎng)絡(luò)即 CDN，實(shí)現(xiàn)快速高效地向用戶交付內(nèi)容。

CVE-2024-45387 漏洞 CVSS 評分為 9.9/10 分，若成功利用漏洞則攻擊者可以在數(shù)據(jù)庫中執(zhí)行任意結(jié)構(gòu)化查詢語言命令 (即 SQL 命令)。

項(xiàng)目維護(hù)者在公告中表示：

Apache Traffic Control 8.0.0~8.0.1 版中的 Traffic Ops 中存在 SQL 注入漏洞，允許具有管理員、聯(lián)合、操作、門戶、指導(dǎo)角色的特權(quán)用戶通過發(fā)送特制的 PUT 請求對數(shù)據(jù)庫執(zhí)行任意 SQL 命令。

使用該模塊的用戶應(yīng)當(dāng)立即升級到 8.0.2 版，該版本發(fā)布于 2024 年 10 月，到現(xiàn)在才披露漏洞就是為了避免有攻擊者對新版本進(jìn)行逆向從而發(fā)現(xiàn)漏洞并利用。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/