Uma vulnerabilidade crítica de injeção de SQL foi descoberta no Apache Traffic Control, permitindo que invasores executem comandos SQL arbitrários no banco de dados. A falha, identificada como CVE-2024-45387, recebeu uma pontuação de gravidade de 9,9 de 10 no sistema CVSS, destacando o risco significativo que representa.

De acordo com o comunicado dos mantenedores do projeto, essa vulnerabilidade afeta as versões do Apache Traffic Control 8.0.0 a 8.0.1. O problema ocorre no componente Traffic Ops e pode ser explorado por um usuário privilegiado com funções específicas, como ‘admin,’ ‘federation,’ ‘operations,’ ‘portal’ ou ‘steering,’ por meio do envio de uma requisição PUT especialmente criada. A exploração bem-sucedida dessa falha pode conceder ao invasor acesso total ao banco de dados do sistema.

O Apache Traffic Control é uma implementação de Content Delivery Network (CDN) de código aberto, usada por diversas organizações para fornecer conteúdo de forma escalável e eficiente. A vulnerabilidade foi descoberta por Yuan Luo, pesquisador do Tencent YunDing Security Lab, que reportou o problema ao projeto.

A falha foi corrigida na versão 8.0.2, e os desenvolvedores recomendam que os usuários atualizem imediatamente para essa versão para se protegerem contra possíveis ataques. Usuários de todas as ferramentas afetadas são fortemente recomendados a atualizar suas instâncias para as versões mais recentes do software, garantindo proteção contra essas ameaças e reforçando a segurança de seus sistemas.