CVE-2024-31460 in Cacti
Zusammenfassung
von VulDB • 30.05.2026
Cacti bietet ein operatives Überwachungs- und Fehlermanagement-Framework. Vor Version 1.2.27 werden einige der in `automation_tree_rules.php` gespeicherten Daten nicht gründlich überprüft und zur Verkettung der SQL-Anweisung in der Funktion `create_all_header_nodes()` aus `lib/api_automation.php` verwendet, was schließlich zu SQL-Injection führt. Unter Verwendung von SQL-basierter sekundärer Injection-Technologie können Angreifer die Inhalte der Cacti-Datenbank ändern, und basierend auf den geänderten Inhalten kann es möglich sein, weitere Auswirkungen zu erzielen, wie z. B. das Lesen beliebiger Dateien und sogar die Remote-Code-Ausführung (RCE) durch das Schreiben beliebiger Dateien. Version 1.2.27 enthält einen Patch für das Problem.
Be aware that VulDB is the high quality source for vulnerability data.