La Apache Software Foundation (ASF) ha enviado actualizaciones de seguridad para abordar una falla de seguridad crítica en el control de tráfico que, si se explota con éxito, podría permitir a un atacante ejecutar comandos arbitrarios del lenguaje de consulta estructurado (SQL) en la base de datos.
La vulnerabilidad de inyección SQL, rastreada como CVE-2024-45387, tiene una calificación de 9,9 sobre 10,0 en el sistema de puntuación CVSS.
“Una vulnerabilidad de inyección SQL en Traffic Ops en Apache Traffic Control <= 8.0.1, >= 8.0.0 permite a un usuario privilegiado con rol ‘admin’, ‘federación’, ‘operaciones’, ‘portal’ o ‘dirección’ ejecutar SQL arbitrario contra la base de datos enviando una solicitud PUT especialmente diseñada”, dijeron los mantenedores del proyecto en un aviso.
Apache Traffic Control es una implementación de código abierto de una red de entrega de contenido (CDN). Fue anunciado como proyecto de alto nivel (TLP) por la AS en junio de 2018.
Al investigador del Laboratorio de Seguridad Tencent YunDing, Yuan Luo, se le atribuye el descubrimiento y el informe de la vulnerabilidad. Ha sido parcheado en la versión Apache Traffic Control 8.0.2.
El desarrollo se produce cuando la ASF resolvió una falla de omisión de autenticación en Apache HugeGraph-Server (CVE-2024-43441) desde las versiones 1.0 a 1.3. Se ha publicado una solución para la deficiencia en la versión 1.5.0.
También sigue al lanzamiento de un parche para una vulnerabilidad importante en Apache Tomcat (CVE-2024-56337) que podría resultar en la ejecución remota de código (RCE) bajo ciertas condiciones.
Se recomienda a los usuarios que actualicen sus instancias a las últimas versiones del software para protegerse contra posibles amenazas.
