Apache Traffic Control SQL注入漏洞CVE-2024-45387

Apache Traffic Control（ATC）是一个强大的、开源的、基于 Web 的负载均衡和流量管理解决方案，其广泛应用于管理和优化网络流量。

Apache Traffic Control（ATC）是一个由Apache软件基金会维护的开源项目，旨在提供一个强大的、灵活的内容分发网络（CDN）实现。

一、基本情况

Apache Traffic Control 项目广泛采用了Go作为其主要编程语言，并融入了TypeScript、JavaScript等等的其他语言来增强不同组件的功能。

Apache Traffic Control 围绕Apache Traffic Server构建，作为开源系统用于管理和优化网络流量，适合网络工程师、系统管理和运维人员。

Traffic Ops是Apache Traffic Control系统中的一个关键组件，主要用于管理和优化网络流量，负责配置、管理和自动化CDN中的各类资源。

Traffic Ops提供了 CDN 的配置管理、性能监控等功能，是CDN服务管理中的重要工具，主要负责配置、管理和自动化CDN中的各类资源。

栋科技漏洞库关注到Apache Traffic Control （ATC）中存在一个SQL注入漏洞，漏洞被追踪为CVE-2024-45387，漏洞CVSS评分为9.9。

二、漏洞分析

CVE-2024-45387漏洞是Apache Traffic Control（ATC）中存在严重的SQL注入漏洞，漏洞由腾讯云丁安全实验室的Yuan Luo发现并报告。

CVE-2024-45387漏洞具体位于Apache Traffic Control版本8.0.0至8.0.1的Traffic Ops的模块中，源于该组件未对输入进行充分验证或过滤。

该漏洞允许具有特权角色（如admin、federation、operations、portal、steering）用户通过发送特制PUT请求，从而可执行任意SQL命令。

具体而言，特权用户可以通过向 deliveryservice_request_comments 端点发送特制的 PUT 请求，以利用SQL注入漏洞执行任意SQL查询。

这意味着，攻击者利用该漏洞操控敏感数据库内容，破坏系统完整性，甚至窃取关键数据，从而可能泄露、修改或删除数据库中的数据。

安全研究人员Abdelrhman Zayed与Mohamed Abdelhady合作，联合发布了针对CVE-2024-45387漏洞的概念验证（PoC）漏洞利用代码。

Apache软件基金会（ASF）团队迅速发布修补版本Apache Traffic Control 8.0.2，建议使用 Apache Traffic Control 的组织尽快应用修复。

三、影响范围

Apache Traffic Control 8.0.0 - 8.0.1

四、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache Traffic Control >= 8.0.2

五、参考链接

此处内容已隐藏，评论后刷新即可查看！