[TLP:CLEAR] Apache Traffic Control opravuje kritickou zranitelnost
Apache Traffic Control verzí 8.0.2 opravuje kritickou zranitelnost [1].
Autentizovanému vzdálenému útočníkovi s rolí „admin“, „federation“, „operations“, „portal“ nebo „steering“ je umožněno vykonat SQL injection útok proti databázi zasláním speciálně vytvořeného PUT požadavku [1]. PoC ke zranitelnosti lze najít na [2].
Zranitelnost se nachází v produktu Apache Traffic Control ve verzích ve verzích >=8.0.0 AND <=8.0.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-45387 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 23. 12. 2024.
Odkazy
Publikovala Michaela Jarošová dne 3. 1. 2025.
