Sintesi
Rilasciata patch che risolve 12 vulnerabilità, di cui 2 con gravità “critica”, in Cacti, noto web tool open-source che consente la visualizzazione di grafici per il monitoraggio della rete. Tali vulnerabilità, qualora sfruttate, potrebbero permettere ad un utente malintezionato autenticato remoto di elevare i propri privilegi ed eseguire codice arbitrario sui sistemi target.
Note: Proof of Concept (PoC) per lo sfruttamento di tutte le vulnerabilità risultano disponibili in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,48/100)1.
Tipologia
- Remote Code Execution
- Privilege Escalation
Prodotti e versioni affette
Cacti
- 1.3.x DEV
- 1.2.x, versioni 1.2.26 e precedenti
Azioni di mitigazione
Si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta” e “critica”:
Riferimenti
https://github.com/Cacti/cacti/security/advisories/GHSA-cx8g-hvq8-p2rv
https://github.com/Cacti/cacti/security/advisories/GHSA-7cmj-g5qc-pj88
https://github.com/Cacti/cacti/security/advisories/GHSA-vjph-r677-6pcc
https://github.com/Cacti/cacti/security/advisories/GHSA-cr28-x256-xf5m
https://github.com/Cacti/cacti/security/advisories/GHSA-j868-7vjp-rp9h