Vulnerabilidad en Cacti framework (CVE-2023-49084)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/12/2023
Última modificación:
10/06/2024
Descripción
Cacti es un framework robusto de gestión de fallos y rendimiento y una interfaz para RRDTool - a Time Series Database (TSDB). Al utilizar la inyección SQL detectada y el procesamiento insuficiente de la ruta del archivo incluido, es posible ejecutar código arbitrario en el servidor. La explotación de la vulnerabilidad es posible para un usuario autorizado. El componente vulnerable es `link.php`. Impacto de la vulnerabilidad de ejecución de código arbitrario en el servidor.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cacti:cacti:1.2.25:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/176995/Cacti-pollers.php-SQL-Injection-Remote-Code-Execution.html
- https://github.com/Cacti/cacti/security/advisories/GHSA-pfh9-gwm6-86vp
- https://lists.debian.org/debian-lts-announce/2024/03/msg00018.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RBEOAFKRARQHTDIYSL723XAFJ2Q6624X/