Apache Software Foundationは12月23日(米国時間)、「CVE-2024-45387: Apache Traffic Control: SQL Injection in Traffic Ops endpoint PUT deliveryservice_request_comments-Apache Mail Archives」において、コンテンツデリバリーネットワーク(CDN: Content Delivery Network)ソフトウェアの「Apache Traffic Control」に緊急の脆弱性が存在すると報じた。

この脆弱性を悪用されると、特定のロールを持つリモートの攻撃者に、任意のSQL命令を実行される可能性がある。

  • CVE-2024-45387: Apache Traffic Control: SQL Injection in Traffic Ops endpoint PUT deliveryservice_request_comments-Apache Mail Archives

    CVE-2024-45387: Apache Traffic Control: SQL Injection in Traffic Ops endpoint PUT deliveryservice_request_comments-Apache Mail Archives

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-45387 - SQLインジェクションの脆弱性。「admin」、「federation」、「operations」、「portal」、「steering」のいずれかのロールを持つ攻撃者は、特別に細工されたPUTリクエストを送信することで、任意のSQL命令を実行できる可能性がある(CVSSスコア: 9.9)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • Apache Traffic Control 8.0.0から8.0.1までのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Apache Traffic Control 8.0.2

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該製品を運用している管理者には、速やかなアップデートが推奨されている。