Apache修補開源CDN軟體Traffic Control重大層級SQL注入漏洞

12月23日Apache基金會發布公告，表示旗下的內容傳遞網路（CDN）軟體Apache Traffic Control存在SQL注入漏洞CVE-2024-45387，影響8.0.0至8.0.1版軟體，他們已發布8.0.2版進行修補。

這項漏洞出現在名為Traffic Ops的組態管理及監控元件，攻擊者一旦挾持特殊權限使用者，並取得admin、federation、operations、portal，或是steering角色身分，就有機會藉由發送特製的PUT請求，在資料庫執行任意SQL命令，CVSS風險評為9.9（滿分10分）。