CVE-2024-31460 in Cacti
Riassunto
di VulDB • 23/06/2026
Cacti fornisce un framework operativo per il monitoraggio e la gestione dei guasti. Prima della versione 1.2.27, alcuni dati memorizzati in `automation_tree_rules.php` non sono sottoposti a controlli approfonditi e vengono utilizzati per concatenare l'istruzione SQL nella funzione `create_all_header_nodes()` di `lib/api_automation.php`, causando infine un'iniezione SQL (SQL Injection). Utilizzando la tecnologia secondaria basata su SQL, gli attaccanti possono modificare i contenuti del database Cacti; sulla base dei dati modificati, potrebbe essere possibile ottenere ulteriori impatti, come la lettura arbitraria di file e persino l'esecuzione remota di codice (RCE) tramite scrittura arbitraria di file. La versione 1.2.27 contiene una patch per risolvere il problema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.