CVE-2024-50306

Apache Traffic Server: Server process can fail to drop privilege

CVSS 9.1 CRITICALEPSS 1.6%CWE-252

En resumen

Apache Traffic Server no logra descartar adecuadamente los privilegios del sistema al iniciar, permitiendo que el servidor funcione con niveles de acceso más altos de lo esperado. Esto podría permitir a atacantes explotar el servicio con permisos elevados.

Detalle técnico

Una falta de verificación del valor de retorno en el mecanismo de reducción de privilegios durante el inicio permite que Apache Traffic Server continúe la ejecución incluso si la reducción de privilegios falla, lo que resulta en retención de privilegios de root o elevados. La vulnerabilidad afecta las versiones 9.2.0–9.2.5 y 10.0.0–10.0.1, permitiendo escalada de privilegios si un atacante puede comprometer o interactuar con el proceso con privilegios inapropiados.

Resumen generado y traducido por IA a partir de la descripción oficial.

Unchecked return value can allow Apache Traffic Server to retain privileges on startup. This issue affects Apache Traffic Server: from 9.2.0 through 9.2.5, from 10.0.0 through 10.0.1. Users are recommended to upgrade to version 9.2.6 or 10.0.2, which fixes the issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Productos afectados

Apache Software Foundation · Apache Traffic Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.apache.org/thread/y15fh6c7kyqvzm0f9odw7c5jh4r4np0y https://lists.debian.org/debian-lts-announce/2025/02/msg00018.html