آپاچیبنیاد نرم‌افزار آپاچی (ASF) به‌روزرسانی‌های امنیتی را برای رفع یک نقص امنیتی مهم در کنترل ترافیک ارسال کرده است که در صورت بهره‌برداری موفقیت‌آمیز، به مهاجم اجازه می‌دهد تا دستورات دلخواه Structured Query Language یا SQL را در پایگاه داده اجرا کند.

آسیب‌پذیری تزریق SQL که با نام CVE-2024-45387 ردیابی می‌شود، در سیستم امتیازدهی CVSS دارای امتیاز ۹٫۹ از ۱۰٫۰ است.

نگهبانان پروژه در یک گزارش گفتند[۱]: «یک آسیب‌پذیری تزریق SQL در Traffic Ops در Apache Traffic Control <= 8.0.1، >= 8.0.0 به یک کاربر ممتاز با نقش «مدیر»، «federation»، «عملیات»، «پورتال» یا «راهنما» اجازه می‌دهد تا با ارسال یک درخواست PUT ساخته‌شده خاص، SQL دلخواه را در برابر پایگاه داده اجرا کند.»

[۲]Apache Traffic Control یک پیاده‌سازی متن‌باز از یک شبکه تحویل محتوا (CDN) است. این پروژه به‌عنوان یک پروژه سطح بالا (TLP) توسط AS در ژوئن ۲۰۱۸ اعلام شد[۳].

Yuan Luo، محقق آزمایشگاه امنیتی Tencent YunDing مسئول کشف و گزارش این آسیب‌پذیری است. این آسیب‌پذیری در نسخه Apache Traffic Control 8.0.2 وصله شده است.

این توسعه زمانی انجام می‌شود که ASF یک نقص دور زدن احراز هویت درApache HugeGraph-Server (CVE-2024-43441) از نسخه‌های ۱٫۰ تا ۱٫۳ را برطرف کرده است[۴]. رفع نقص در نسخه ۱٫۵٫۰ منتشر شده است.

همچنین به دنبال انتشار یک وصله برای یک آسیب‌پذیری مهم در آپاچی تامکت (CVE-2024-56337) است که می‌تواند در شرایط خاص منجر به اجرای کد از راه دور (RCE) شود[۵].

به کاربران توصیه می‌شود برای محافظت در برابر تهدیدات احتمالی، نمونه‌های خود را به آخرین نسخه‌های نرم‌افزار به‌روز کنند.

  منابع

[۱] https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr

[۲] https://trafficcontrol.apache.org

[۳] https://news.apache.org/foundation/entry/the-apache-software-foundation-announces36

[۴] https://www.cve.org/CVERecord?id=CVE-2024-43441

[۵] https://apa.aut.ac.ir/?p=10878

[۶] https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html