Apache Traffic Control存在严重的SQL注入漏洞，可在数据库中执行任意命令

综合编译 代码卫士 2024-12-26 10:23

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache 软件基金会 (ASF) 已发布安全更新，修复了 Traffic Control 中的一个严重漏洞CVE-2024-45387（CVSS评分9.9）。该漏洞可导致攻击者在数据库中执行任意SQL命令。

项目维护人员在一份安全公告中提到，“Apache Traffic Control <=8.0.1、>=8.0.0中存在一个SQL注入漏洞，可导致角色为 ‘admin’、’federation’、’operations’、‘portal’ 或 ’steering’ 的权限用户，通过发送特殊构造的PUT请求，在数据库中执行任意SQL命令。” 该漏洞已在 Apache Traffic Control 8.0.2中修复。

Apache Traffic Control 是内容交付网络 (CDN) 的一种开源实现，在2018年6月被宣布为一个顶层项目。

ASF还修复了Apache Hive 和 Apache Spark 中的另外一个严重漏洞CVE-2024-23945（CVSS评分8.7），它影响用于保护cookie完整性的 CookieSigner 安全机制，当信息验证失败时会暴露合法的cookie签名，可能导致恶意人员进一步利用系统。

此前，ASF还修复了位于Apache HugeGraph-Server 1.0至1.3版本中的一个认证绕过漏洞 (CVE-2024-43441)，该修复方案已在 1.5.0中发布。另外该基金会还修复了Apache Tomcat 中的一个重要漏洞 (CVE-2024-56337)，在一定条件下该漏洞可导致RCE后果。

建议用户将实例更新至最新版本，免受潜在威胁。

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

Apache Tomcat 漏洞导致服务器易受RCE攻击

Apache修复 Struts 2 中的严重 RCE 漏洞

Apache Avro SDK 中存在严重漏洞，可导致在 Java 应用中实现RCE

CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞

Apache 修复严重的 OFBiz 远程代码执行漏洞

原文链接

https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html

题图：
Pexels 
License

---

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “
在看
” 或 “
赞
” 吧~