PT-2024-9752 · Apache+1 · Apache Traffic Control+1
Yuan Luo
·
Publicado
2024-08-28
·
Atualizado
2025-01-10
·
CVE-2024-45387
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Apache Traffic Control, versões 8.0.0 a 8.0.1
Descrição
Uma vulnerabilidade crítica de injeção de SQL no Apache Traffic Control permite que um usuário com privilégios e funções como “admin”, “federation”, “operations”, “portal” ou “steering” execute comandos SQL arbitrários no banco de dados enviando uma solicitação PUT especialmente criada. Essa falha pode ser facilmente explorada, comprometendo potencialmente dados confidenciais e interrompendo serviços críticos. Estima-se que mais de 365.000 serviços possam ser afetados.
Recomendações
Atualize para a versão 8.0.2 o mais rápido possível para corrigir a vulnerabilidade.
Audite as permissões de acesso para funções de alto risco.
Verifique novamente as configurações do banco de dados em busca de brechas de segurança.
Correção
Improper Authorization
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Traffic Control
Suse