Критическая дыра в Traffic Control открывает хакерам доступ к базам данных

Apache оказалась в центре громкого скандала: в системе Traffic Control обнаружена критическая уязвимость, которая буквально приглашает хакеров к взлому. CVE-2024-45387, оцененная в 9.9 из 10 по шкале CVSS, позволяет злоумышленникам проникать в базы данных и выполнять произвольные SQL-команды. Проблема затрагивает все версии программы до последнего обновления 8.0.2, и миллионы пользователей остаются под угрозой.

Суть проблемы — эксплуатация привилегий. Хакерам достаточно получить доступ с одной из ролей, таких как «admin» или «portal», чтобы через специально созданный PUT-запрос обойти защиту. Самое тревожное, что подобные права часто оказываются плохо защищенными, превращая атаку в дело техники.

Это не первый инцидент с Apache. Ранее были выявлены уязвимости в HugeGraph-Server и Tomcat, которые также могли привести к серьезным последствиям. Но в случае с Traffic Control под ударом оказались крупные компании, полагающиеся на эту систему для обеспечения работы CDN.

Обнаруженная специалистом Tencent Юанем Луо уязвимость демонстрирует, насколько хрупка кибербезопасность даже в масштабных проектах. Apache вынуждена экстренно выпускать обновления, но пользователи, отстающие с установкой патчей, остаются в зоне риска. Каждая минута промедления — дополнительный шанс для хакеров.