Apache Traffic Control, una solución de código abierto de Apache Software Foundation diseñado para gestionar y operar redes de distribución de contenido (CDN), ha identificado una vulnerabilidad crítica en su sistema.
- CVE-2024-45387 (CVSS: 9.9): Esta vulnerabilidad consiste en una inyección SQL en el endpoint PUT deliveryservice_request_comments de Traffic Ops. La falla, clasificada como crítica, permite a un usuario privilegiado con roles como «admin», «federation», «operations», «portal» o «steering» ejecutar comandos SQL arbitrarios en la base de datos mediante una solicitud especialmente diseñada.
Productos y versiones afectadas:
- Apache Traffic Control 8.0.0 a 8.0.1.
Solución:
- Apache Traffic Control 8.0.2.
Recomendaciones:
- Actualizar a la última versión compatible para mitigar riesgos de seguridad.
- Verificar los permisos de los usuarios privilegiados y limitar el acceso a roles esenciales.
- Implementar políticas de monitoreo para detectar intentos de explotación en el sistema.
Referencias:
https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr