Выполнение произвольных команд в Raxnet Cacti

Дата публикации:
09.09.2002
Дата изменения:
07.05.2008
Всего просмотров:
734
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cacti 0.x
Описание: Raxnet Cacti (http://www.raxnet.net/products/cacti/) - внешний интерфейс для rrdtool, контролирующий сетевую деятельность.

Cacti должным образом не проверяет правильность ввода в полях (в сценарии graphs.php), которые должны содержать только текст. Если в таком поле ввести команду, Cacti ее выполнит на основной системе. Также любой пользователь имеет доступ к файлу config.php, который содержит имя пользователя и пароль базы данных MySQL.

Уязвимость обнаружена в Raxnet Cacti 0.5-0.6.8

Ссылки: Cacti security issues

или введите имя

CAPTCHA