ГлавнаяБаза уязвимостей БДУ → BDU:2024-03742
10критическая

BDU:2024-03742

Уязвимость опции register_argc_argv программного средства мониторинга сети Cacti, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2024-05-16
Описание

Уязвимость опции register_argc_argv программного средства мониторинга сети Cacti связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды путём внедрения специально сформированного URL-адреса

Затрагиваемое ПО и версии
Cacti (1.3.0 DEV)
Способ устранения

Использование рекомендаций:
https://github.com/Cacti/cacti/commit/53e8014d1f082034e0646edc6286cde3800c683d
https://github.com/Cacti/cacti/commit/99633903cad0de5ace636249de16f77e57a3c8fc
https://github.com/Cacti/cacti/releases

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование систем обнаружения и предотвращения вторжений для контроля попыток подключений к инструменту.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://vuldb.com/?id.263986https://github.com/Cacti/cacti/blob/501712998589763d411a68d35e3cda98fd9cfd18/cmd_realtime.php#L119https://github.com/Cacti/cacti/commit/53e8014d1f082034e0646edc6286cde3800c683dhttps://github.com/Cacti/cacti/commit/99633903cad0de5ace636249de16f77e57a3c8fchttps://github.com/Cacti/cacti/security/advisories/GHSA-cr28-x256-xf5mhttps://github.com/Cacti/cacti/security/advisories/GHSA-cr28-x256-xf5m
Проверьте безопасность своего сайта и почты → Полная проверка домена