Vulnerabilidades en Cacti
Se han corregido múltiples fallos de seguridad en la última versión de Cacti (1.1.16). Los errores, de gravedad alta, se corresponden con una falta de filtrado adecuado en los parámetros de entrada que podrían permitir a un atacante realizar ataques Cross-site scripting (XSS) y potencialmente ejecutar código arbitrario.
Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Los errores se detallan a continuación:
CVE-2017-12065: Un error en la función ‘spikekill.php’ permitiría a un atacante remoto ejecutar código arbitrario a través de parámetros ‘avgnan’, ‘outlier-start’, o ‘outlier-end’ especialmente manipulados.
CVE-2017-12066: un error de validación de los datos introducidos por el usuario permitirán a un atacante remoto autenticado realizar ataques de tipo Cross-site scripting (XSS). El atacante se aprovecharía de un error en la función ‘aggregate_graphs.php’ permitiéndole inyectar código javascript o html malicioso a través de determinadas cabeceras HTTP especialmente manipuladas.
*Nota: Esta vulnerabilidad surge a partir del fix incompleto de la vulnerabilidad CVE-2017-11163.
Este problema afecta a la versión 1.1.15 y anteriores. Se recomienda actualizar a versiones superiores.
https://www.cacti.net/downloads/
Ver información original al respecto en Fuente:
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.