9.9分的SQL注入漏洞来了，可获admin权限

2025-11-26 21:55:18分类：网络安全阅读(78)

Apache软件基金会（ASF）已发布安全更新，入漏修复了Traffic Control中的权限一个关键安全漏洞 。若此漏洞被成功利用，入漏攻击者便能在数据库中执行任意结构化查询语言（SQL）命令
。权限该SQL注入漏洞被标识为CVE-2024-45387，入漏在CVSS评分系统中获得了9.9分（满分为10分） 。权限

项目维护人员在公告里指出：“Apache Traffic Control在8.0.0版本至8.0.1版本（包含这两个版本）的入漏Traffic Ops中存在一个SQL注入漏洞，拥有‘admin’、权限‘federation’ 、入漏‘operations’、权限‘portal’或者‘steering’角色的源码库入漏特权用户可通过发送特制的PUT请求来执行任意SQL语句。”

Apache Traffic Control属于开源的权限内容分发网络（CDN）实现项目。2018年6月
，入漏该项目被宣布为顶级项目（TLP）。权限

与此同时 ，入漏ASF还解决了Apache HugeGraph - Server在1.0版本到1.3版本中存在的身份验证绕过漏洞（CVE - 2024 - 43441），其修复补丁已在1.5.0版本发布。ASF也发布了Apache Tomcat中的一个重要漏洞（CVE - 2024 - 56337）的建站模板补丁 ，此漏洞在某些条件下可能引发远程代码执行（RCE），建议用户将软件实例更新至最新版本
 ，以抵御潜在威胁。

SQL注入攻击是一种常见的网络攻击手段 ，攻击者通过在输入字段中插入恶意SQL代码
，试图欺骗应用程序以执行不安全的数据库操作。

检测SQL注入攻击的方法

输入检查：对用户输入进行充分的香港云服务器验证和转义，防止恶意的SQL代码被执行。

日志分析 ：分析应用程序的访问日志，检测异常的URL、异常的用户行为等 。

数据库监控：监视数据库的活动
，检测异常的服务器租用查询和操作 。

漏洞扫描：使用漏洞扫描工具检测应用程序中的安全漏洞
，包括SQL注入漏洞。

Web应用程序防火墙：监控应用程序的流量 ，检测和阻止SQL注入攻击。

防御SQL注入攻击的措施

使用预编译语句和参数化查询：这是防止SQL注入的最有效方法之一，通过使用占位符而不是亿华云直接拼接字符串来构建SQL命令。

输入验证：检查用户输入的合法性，确信输入的内容只包含合法的数据。

错误消息处理 ：避免出现详细的错误消息 ，因为黑客们可以利用这些消息。

最小权限原则
：为数据库账号分配最小必要的权限 ，即使存在注入漏洞 ，免费模板攻击者也无法执行高风险操作。

参考来源：https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html