9.9 из 10: в Traffic Control от Apache обнаружена критическая уязвимость

Фонд Apache Software Foundation выпустил обновления безопасности для устранения критической уязвимости в системе Traffic Control. Обнаруженный недостаток получил максимально высокую оценку опасности — 9.9 баллов из 10 возможных по шкале CVSS.

Уязвимость, получившая индекс CVE-2024-45387, позволяет злоумышленникам выполнять произвольные SQL-команды в базе данных. Проблема затрагивает версии Apache Traffic Control 8.0.1 и ниже.

По данным разработчиков, для эксплуатации уязвимости атакующему необходимы привилегированные права доступа с ролями «admin», «federation», «operations», «portal» или «steering». Злоумышленник может провести атаку путём отправки специально сформированного PUT-запроса.

Apache Traffic Control представляет собой открытую реализацию сети доставки контента (CDN). В июне 2018 года система получила статус проекта верхнего уровня в рамках Apache Software Foundation.

Уязвимость была обнаружена специалистом по безопасности Юанем Луо из лаборатории безопасности Tencent. Для защиты от возможных атак пользователям рекомендуется обновить Apache Traffic Control до версии 8.0.2.

Фонд Apache также исправил уязвимость обхода аутентификации в Apache HugeGraph-Server ( CVE-2024-43441 ), затрагивающую версии с 1.0 по 1.3. Исправление выпущено в версии 1.5.0. Кроме того, недавно разработчики выпустили патч для критической уязвимости в Apache Tomcat ( CVE-2024-56337 ), которая при определённых условиях может привести к удалённому выполнению кода.