ГлавнаяБаза уязвимостей БДУ → BDU:2024-04180
9высокая

BDU:2024-04180

Уязвимость функции automation_get_new_graphs_sql программного средства мониторинга сети Cacti, позволяющая нарушителю выполнять произвольные SQL-запросы
Опубликовано: 2024-05-29
Описание

Уязвимость функции automation_get_new_graphs_sql программного средства мониторинга сети Cacti связана с отсутствием проверки достоверности последовательностей XML-объетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные SQL-запросы

Затрагиваемое ПО и версии
Cacti (до 1.2.27)
Способ устранения

Использование рекомендаций:
https://github.com/Cacti/cacti/blob/501712998589763d411a68d35e3cda98fd9cfd18/lib/api_automation.php#L717
https://github.com/Cacti/cacti/blob/501712998589763d411a68d35e3cda98fd9cfd18/lib/api_automation.php#L856
https://github.com/Cacti/cacti/commit/fd93c6e47651958b77c3bbe6a01fff695f81e886
https://github.com/Cacti/cacti/security/advisories/GHSA-vjph-r677-6pcc

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://github.com/Cacti/cacti/blob/501712998589763d411a68d35e3cda98fd9cfd18/lib/api_automation.php#L717https://github.com/Cacti/cacti/blob/501712998589763d411a68d35e3cda98fd9cfd18/lib/api_automation.php#L856https://github.com/Cacti/cacti/commit/fd93c6e47651958b77c3bbe6a01fff695f81e886https://github.com/Cacti/cacti/security/advisories/GHSA-vjph-r677-6pcc
Проверьте безопасность своего сайта и почты → Полная проверка домена