SQL-Injection- und XSS-Lücken in Cacti [Update]
Die Release 0.8.6e Cacti beseitigt mehrere Cross-Site-Scripting- und SQL-Injection-Lücken der Netzwerkvisualisierungslösung.
Die Release 0.8.6e Cacti beseitigt mehrere Cross-Site-Scripting- und SQL-Injection-Lücken der Netzwerkvisualisierungslösung. Die Release-Notes verraten keine weiteren Details und verweisen lediglich auf iDefense als Entdecker.
Update:
Mittlerweile hat iDefense zwei Advisories veröffentlicht, aus denen hervorgeht, dass es möglich ist, fremden Code einzuschleusen und Code mit den Rechten des Web-Servers ausführen. Über spezielle Parameter binden die Skripte config_settings.php und top_graph_header.php Dateien aus dem Netz ein und führen deren Inhalt aus. Ein drittes Advisory analysiert die SQL-Injection-Probleme.
Siehe dazu auch: (ju)
- Release Notes von Cacti
- Changelog für Cacti 0.8.6e
- config_settings.php Advisory von iDefense
- top_graph_header.php Advisory von iDefense
- SQL Injection Advisory von iDefense