CVE-2024-31460 in Cacti
Sumário
de VulDB • 30/05/2026
O Cacti fornece um framework operacional de monitoramento e gerenciamento de falhas. Antes da versão 1.2.27, alguns dos dados armazenados em `automation_tree_rules.php` não são verificados de forma rigorosa e são utilizados para concatenar a instrução SQL na função `create_all_header_nodes()` do arquivo `lib/api_automation.php`, resultando finalmente em SQL injection. Utilizando a tecnologia de injeção secundária baseada em SQL, os atacantes podem modificar o conteúdo do banco de dados do Cacti e, com base no conteúdo modificado, pode ser possível alcançar impactos adicionais, como leitura arbitrária de arquivos e até mesmo execução remota de código (RCE) por meio de escrita arbitrária de arquivos. A versão 1.2.27 contém um patch para o problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.