بنیاد نرمافزار آپاچی (ASF) بهروزرسانیهای امنیتی را برای رفع یک نقص امنیتی حیاتی با شناسه CVE-2024-45387 و امتیاز 9.9 در Traffic Control ارسال کرده است که در صورت اکسپلویت موفقیتآمیز به نفوذگر اجازه میدهد تا دستورات دلخواه زبان کوئری ساختار یافته (SQL) را در پایگاه داده اجرا کند.
این آسیبپذیری تزریق SQL که در نسخه Apache Traffic Control 8.0.2 وصله شده است، در نسخه 8.0.0 تا نسخه 8.0.1 Traffic Ops در Apache Traffic Control به یک کاربر با سطح دسترسی و نقش ‘admin,’ ‘federation,’ ‘operations,’ ‘portal‘ یا ‘steering‘ اجازه میدهد تا با ارسال یک درخواست PUT ساخته شده خاص، SQL دلخواه را در پایگاه داده اجرا کند. Apache Traffic Control یک پیادهسازی متن باز از شبکه تحویل محتوا (CDN) است.
https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
