ASF基金会披露由腾讯云鼎实验室通报的高危漏洞

资讯来源：蓝点网 2024-12-29 05:38:03 阅读：61

这是近期 ASF 基金会披露的第三个安全问题，此次安全公告主要涉及 CVE-2024-45387 漏洞，该漏洞由腾讯云鼎安全实验室的研究人员报告。

漏洞位于 Apache Traffic Control 流量控制组件中，该组件可以建立内容分发网络即 CDN，实现快速高效地向用户交付内容。

CVE-2024-45387 漏洞 CVSS 评分为 9.9/10 分，若成功利用漏洞则攻击者可以在数据库中执行任意结构化查询语言命令 (即 SQL 命令)。

项目维护者在公告中表示：

Apache Traffic Control 8.0.0~8.0.1 版中的 Traffic Ops 中存在 SQL 注入漏洞，允许具有管理员、联合、操作、门户、指导角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 命令。

使用该模块的用户应当立即升级到 8.0.2 版，该版本发布于 2024 年 10 月，到现在才披露漏洞就是为了避免有攻击者对新版本进行逆向从而发现漏洞并利用。

延伸阅读

微软在Microsoft Edge中添加视频录制功能暂不支持音频

Microsoft Edge 浏览器提供非常丰富的功能，尽管这些功能有些确实非常有用但太多的功能也让浏览器变得比较臃肿，不过微软似乎并不在乎这些问题。目前该浏览器被发现的最新功能是其内置的截图功能后续
Brave浏览器新增自定义脚本可以将JS注入网站实现类似暴力猴之类的功能

Brave Browser 开发团队日前推出 v1.75 版并引入自定义脚本功能，该功能允许高级用户将自己编写的 JavaScript 脚本注入到网站或特定网站中，以实现增强自定义、隐私和可用性等。本
研究人员称谷歌reCAPTCHA验证机制很容易被机器人攻破

谷歌推出的 reCAPTCHA 验证机制被很多用户抱怨，诸如选择红绿灯、斑马线和自行车之类的操作看起来毫无意义，因为现在已经有诸多机器人可以克服该验证机制，只有真实用户才会被要求思考并选择图片。You

[广告]赞助链接：

*文章为作者独立观点，不代表 SSLHUB 立场

本文由环度SSL发表，转载此文章须经作者同意，并请附上出处( SSLHUB )及本页链接。

原文链接 https://www.sslhub.cn/freessl/news/3052.html

蓝点网 ASF基金会腾讯云鼎实验室 Apache Traffic Control CVE-2024-45387 CVSS

关注KnowSafe微信公众号
随时掌握互联网精彩