CVE-2024-31445 in Cactiinformación

Resumen

por MITRE • 2024-05-14

Cacti proporciona un framework de monitoreo operativo y gestión de fallas. Antes de la versión 1.2.27, una vulnerabilidad de inyección SQL en la función `automation_get_new_graphs_sql` de `api_automation.php` permitía a los usuarios autenticados explotar estas vulnerabilidades de inyección SQL para realizar escalada de privilegios y ejecución remota de código. En la línea 856 de `api_automation.php`, `get_request_var('filter')` se concatena en la declaración SQL sin ningún tipo de sanitización. En `api_automation.php` línea 717, el filtro de ``filtro'' es `FILTER_DEFAULT`, lo que significa que no hay ningún filtro para él. La versión 1.2.27 contiene un parche para el problema.

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

2024-04-03

Divulgación

2024-05-14

Moderación

aceptado

Artículo

VDB-263992

CPE

listo

EPSS

0.26154

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!