Inyección SQL en Traffic Ops de Apache Traffic Control
Fecha de publicación 26/12/2024
Identificador
INCIBE-2024-0623
Importancia
5 - Crítica
Recursos Afectados
Traffic Ops en Apache Traffic Control, en las versiones comprendidas entre la 8.0.0 y la 8.0.1.
Descripción
Yuan Luo, del Laboratorio de Seguridad YunDing de Tencent, ha informado de una vulnerabilidad de severidad crítica que de ser explotada podría permitir la ejecución de sentencias SQL arbitrarias.
Solución
Se recomienda a los usuarios que actualicen a la versión Apache Traffic Control 8.0.2.
Detalle
La vulnerabilidad de severidad crítica podría permitir a un usuario privilegiado con el rol "admin", "federation", "operations", "portal", o "steering" ejecutar código SQL arbitrario contra la base de datos mediante el envío de una solicitud PUT especialmente diseñada.
Se ha asignado el identificador CVE-2024-45387 para esta vulnerabilidad.
Listado de referencias
Etiquetas