CVE-2024-31460 in Cactiinfo

Zusammenfassung

von VulDB • 30.05.2026

Cacti bietet ein operatives Überwachungs- und Fehlermanagement-Framework. Vor Version 1.2.27 werden einige der in `automation_tree_rules.php` gespeicherten Daten nicht gründlich überprüft und zur Verkettung der SQL-Anweisung in der Funktion `create_all_header_nodes()` aus `lib/api_automation.php` verwendet, was schließlich zu SQL-Injection führt. Unter Verwendung von SQL-basierter sekundärer Injection-Technologie können Angreifer die Inhalte der Cacti-Datenbank ändern, und basierend auf den geänderten Inhalten kann es möglich sein, weitere Auswirkungen zu erzielen, wie z. B. das Lesen beliebiger Dateien und sogar die Remote-Code-Ausführung (RCE) durch das Schreiben beliebiger Dateien. Version 1.2.27 enthält einen Patch für das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

Reservieren

03.04.2024

Veröffentlichung

14.05.2024

Moderieren

akzeptiert

Eintrag

VDB-263991

CPE

bereit

EPSS

0.01791

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!