Apache Software Foundation (ASF) telah mengirimkan pembaruan keamanan untuk mengatasi kelemahan keamanan kritis dalam Kontrol Lalu Lintas yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang mengeksekusi perintah Structured Query Language (SQL) sewenang-wenang dalam database.
Kerentanan injeksi SQL, dilacak sebagai CVE-2024-45387, diberi peringkat 9,9 dari 10,0 pada sistem penilaian CVSS.
“Kerentanan injeksi SQL di Traffic Ops di Apache Traffic Control = 8.0.0 memungkinkan pengguna istimewa dengan peran 'admin', 'federasi', 'operasi', 'portal', atau 'kemudi' untuk mengeksekusi SQL sewenang-wenang terhadap database dengan mengirimkan permintaan PUT yang dibuat khusus,” kata pengelola proyek dalam sebuah penasehat.
Kontrol Lalu Lintas Apache adalah implementasi sumber terbuka dari Jaringan Pengiriman Konten (CDN). Ini diumumkan sebagai proyek tingkat atas (TLP) oleh AS pada bulan Juni 2018.
Peneliti Tencent YunDing Security Lab, Yuan Luo, telah berjasa menemukan dan melaporkan kerentanan tersebut. Ini telah ditambal di versi Apache Traffic Control 8.0.2.
Perkembangan ini terjadi ketika ASF telah mengatasi kelemahan bypass otentikasi di Apache HugeGraph-Server (CVE-2024-43441) dari versi 1.0 hingga 1.3. Perbaikan untuk kekurangan ini telah dirilis di versi 1.5.0.
Hal ini juga mengikuti rilis patch untuk kerentanan penting di Apache Tomcat (CVE-2024-56337) yang dapat mengakibatkan eksekusi kode jarak jauh (RCE) dalam kondisi tertentu.
Pengguna disarankan untuk memperbarui instans mereka ke versi perangkat lunak terbaru untuk melindungi dari potensi ancaman.
