Vulnerabilidad en Cacti (CVE-2023-39515)

Cacti es un framework de monitorización operativa y gestión de fallos de código abierto. Las versiones afectadas están sujetas a una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que permite a un usuario autenticado envenenar a los datos almacenados en la base de datos de cacti.Estos datos serán visualizados por las cuentas administrativas de cacti y ejecutarán código JavaScript en el navegador de la víctima en tiempo de visualización. El script bajo `data_debug.php`muestra información de depuración relacionada con la fuente de datos, como _rutas de la fuente de datos, configuraciones de sondeo y metadatos en la fuente de datos_._CENSUS_ descubrió que un adversario que es capaz de configurar una ruta de fuente de datos maliciosa, puede implementar un ataque XSS almacenado contra cualquier usuario que tenga privilegios relacionados con la visualización de la información `data_debug.php`.Un usuario que posee los permisos _Administración general>Sitios/Dispositivos/Datos_ puede configurar la ruta de la fuente de datos en _cacti_. Esta configuración se produce a través de `http:///cacti/data_sources.php`. Esta vulnerabilidad se ha solucionado en la versión 1.2.25. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben filtrar manualmente la salida HTML.