Összefoglaló
A Cacti sérülékenysége vált ismertté, amely rosszindulatú távoli felhasználók számára lehetővé teszi SQL parancsok futtatását.
Leírás
A sérülékenység a graph.php fájl rra_id-ban tárolt értékén keresztül használható ki. A Cacti korábbi verzióiban a fájl hitelesítés nélkül hozzáférhető, a legutóbbi verzióban vendég felhasználói jogosultság szükséges hozzá.
Megoldás
A gyártó jelenleg még nem adott ki javítást.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: seclists.org
CVE-2015-8369 - NVD CVE-2015-8369