ASF基金会披露由腾讯云鼎实验室通报的高危漏洞

业界来源：蓝点网 2024-12-29 05:39:53

这是近期 ASF 基金会披露的第三个安全问题，此次安全公告主要涉及 CVE-2024-45387 漏洞，该漏洞由腾讯云鼎安全实验室的研究人员报告。

漏洞位于 Apache Traffic Control 流量控制组件中，该组件可以建立内容分发网络即 CDN，实现快速高效地向用户交付内容。

CVE-2024-45387 漏洞 CVSS 评分为 9.9/10 分，若成功利用漏洞则攻击者可以在数据库中执行任意结构化查询语言命令 (即 SQL 命令)。

项目维护者在公告中表示：

Apache Traffic Control 8.0.0~8.0.1 版中的 Traffic Ops 中存在 SQL 注入漏洞，允许具有管理员、联合、操作、门户、指导角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 命令。

使用该模块的用户应当立即升级到 8.0.2 版，该版本发布于 2024 年 10 月，到现在才披露漏洞就是为了避免有攻击者对新版本进行逆向从而发现漏洞并利用。

延伸阅读

微软发布紧急带外更新修复WSUS(企业更新服务器)中高达9.8分且已经被黑客利用的漏洞

微软日前向企业使用的更新服务器 (WSUS) 发布紧急安全更新用于修复 CVE-2025-59287 漏洞，该漏洞的评分高达 9.8 分，目前已经具有公开的概念验证 (PoC) 并且已经遭到黑客的积极
飞牛OS新增iSCSI可以挂载为系统本地磁盘较WebDAV提供更多功能和更好的性能

免费的网络附加存储设备 (NAS) 专用操作系统飞牛 OS (fnOS) 日前在 V0.9.30 版中新增 iSCSI 管理应用，借助该应用飞牛 OS 实现 iSCSI 功能，可以将其挂载为系统本地磁
研究人员公布开源压缩工具7-Zip路径遍历漏洞的PoC 相关攻击可能很快就会增多

早前研究人员公布开源压缩工具 7-Zip 的路径遍历漏洞，黑客借助该漏洞可以构造特制的恶意文件诱导用户使用 7-Zip 打开，从而触发漏洞并实现远程代码执行。这个漏洞早在三个月前发布的 7-Zip

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

*文章为作者独立观点，不代表 K2数据恢复大师立场

本文由倪哇哇发表，转载此文章须经作者同意，并请附上出处( K2数据恢复大师 )及本页链接。

原文链接 https ://www.51uos.com/news/industry/9276.html

蓝点网 ASF基金会腾讯云鼎实验室 Apache Traffic Control CVE-2024-45387 CVSS

关注网络尖刀微信公众号
随时掌握互联网精彩