Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cacti (CVE-2024-31458)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
14/05/2024
Última modificación:
18/12/2024

Descripción

Cacti proporciona un framework de monitoreo operativo y gestión de fallas. Antes de la versión 1.2.27, algunos de los datos almacenados en la función `form_save()` en `graph_template_inputs.php` no se verifican exhaustivamente y se usan para concatenar la instrucción SQL en la función `draw_nontemplate_fields_graph_item()` de `lib/html_form_templates. php`, lo que finalmente resulta en una inyección SQL. La versión 1.2.27 contiene un parche para el problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cacti:cacti:*:*:*:*:*:*:*:* 1.2.27 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*