SQL-Injection-Lücke in Netzwerkstatistik-Programm Cacti

Über eine SQL-Injection-Lücke im Netzwerkstatistik-Programm Cacti können Angreifer eigene Befehle an die zugrunde liegende Datenbank übergeben. Dadurch ist es unter Umständen möglich, geschützte Inhalte abzurufen oder Inhalte zu manipulieren. Ursache ist die fehlende Filterung des Parameters local_graph_id im Skript graph.php. Das Update auf Version 0.8.7a soll den Fehler zwar beheben, derzeit (21. 11. 07, 11:30 Uhr) ist die Homepage von Cacti allerdings nicht verfügbar. Stattdessen erhält der Besucher eine Fehlermeldung, dass der MySQL-Server nicht erreichbar sei.

Siehe dazu auch:

• Release Notes 0.8.7a, Beschreibung auf cacti.net

(dab)