Выполнение произвольных команд в Cacti

Дата публикации:
23.04.2010
Дата изменения:
23.04.2010
Всего просмотров:
1727
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:U/RC:C) = Base:9/Temporal:7.7
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cacti 0.x
Уязвимые версии: Cacti 0.8.7e, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за недостаточной проверки входных данных в имени хоста при добавлении или редактировании устройства или вертикальной надписи при добавлении или редактировании шаблона для вывода графиков. Удаленный пользователь может с помощью специально сформированного имени хоста выполнить произвольные команды на системе. Для успешной эксплуатации уязвимости злоумышленнику потребуется доступ к секциям управления шаблонами графиков или устройствами.

URL производителя: www.cacti.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.bonsai-sec.com/en/research/vulnerabilities/cacti-os-command-injection-0105.php

или введите имя

CAPTCHA