Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección SQL en Traffic Ops de Apache Traffic Control

Fecha de publicación 26/12/2024
Identificador
INCIBE-2024-0623
Importancia
5 - Crítica
Recursos Afectados

Traffic Ops en Apache Traffic Control, en las versiones comprendidas entre la 8.0.0 y la 8.0.1.

Descripción

Yuan Luo, del Laboratorio de Seguridad YunDing de Tencent, ha informado de una vulnerabilidad de severidad crítica que de ser explotada podría permitir la ejecución de sentencias SQL arbitrarias. 

Solución

Se recomienda a los usuarios que actualicen a la versión Apache Traffic Control 8.0.2.

Detalle

La vulnerabilidad de severidad crítica podría permitir a un usuario privilegiado con el rol "admin", "federation", "operations", "portal", o "steering" ejecutar código SQL arbitrario contra la base de datos mediante el envío de una solicitud PUT especialmente diseñada.

Se ha asignado el identificador CVE-2024-45387 para esta vulnerabilidad.