Apache Software Foundation (ASF) đã phát hành bản cập nhật bảo mật để khắc phục một lỗ hổng bảo mật nghiêm trọng trong Apache Traffic Control. Nếu lỗ hổng này bị khai thác thành công, kẻ tấn công có thể thực thi các lệnh Structured Query Language (SQL) tùy ý trong cơ sở dữ liệu.

Lỗ hổng SQL injection, được theo dõi dưới mã CVE-2024-45387, được đánh giá 9.9 trên thang điểm CVSS 10.0.

Theo thông báo từ các nhà phát triển dự án, “Lỗ hổng SQL injection trong Traffic Ops của Apache Traffic Control <= 8.0.1, >= 8.0.0 cho phép người dùng có quyền ‘admin,’ ‘federation,’ ‘operations,’ ‘portal,’ hoặc ‘steering’ thực thi các lệnh SQL tùy ý vào cơ sở dữ liệu bằng cách gửi yêu cầu PUT được tạo đặc biệt.”

Apache Traffic Control là một triển khai mã nguồn mở của Mạng phân phối nội dung (CDN). Dự án này được công nhận là dự án cấp cao (TLP) bởi ASF vào tháng 6 năm 2018.

Nghiên cứu viên Yuan Luo từ Tencent YunDing Security Lab là người phát hiện và báo cáo lỗ hổng này. Lỗ hổng đã được vá trong phiên bản Apache Traffic Control 8.0.2.

Thông tin này được công bố trong bối cảnh ASF đã khắc phục một lỗ hổng vượt qua xác thực trong Apache HugeGraph-Server (CVE-2024-43441) từ các phiên bản 1.0 đến 1.3. Bản vá cho vấn đề này đã được phát hành trong phiên bản 1.5.0.

Điều này cũng theo sau việc phát hành bản vá cho một lỗ hổng quan trọng trong Apache Tomcat (CVE-2024-56337) có thể dẫn đến việc thực thi mã từ xa (RCE) trong một số điều kiện nhất định. Người dùng được khuyến cáo cập nhật các phiên bản phần mềm mới nhất để bảo vệ chống lại các mối đe dọa tiềm tàng.

Nguồn: The hacker news