Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11488

Опубликовано: 28 авг. 2024
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Средний

Описание

Уязвимость компонента PUT Request Handler системы построения CDN-сети Apache Traffic Control связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код посредством внедрения специально сформированного запроса

Вендор

Apache Software Foundation

Наименование ПО

Traffic Control

Версия ПО

от 8.0.0 до 8.0.1 включительно (Traffic Control)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.4073
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-45387

CVSS3: 9.9
nvd
около 1 года назад

An SQL injection vulnerability in Traffic Ops in Apache Traffic Control <= 8.0.1, >= 8.0.0 allows a privileged user with role "admin", "federation", "operations", "portal", or "steering" to execute arbitrary SQL against the database by sending a specially-crafted PUT request. Users are recommended to upgrade to version Apache Traffic Control 8.0.2 if you run an affected version of Traffic Ops.

github логотип

GHSA-vq94-9pfv-ccqr

CVSS3: 8.8
github
около 1 года назад

SQL injection in Apache Traffic Control

suse-cvrf логотип

SUSE-SU-2025:0060-1

suse-cvrf
около 1 года назад

Security update for govulncheck-vulndb

EPSS

Процентиль: 97%
0.4073
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2