漏洞等级 High
CVE编号 CVE-2023-39361
Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,为世界各地的用户提供强大且可扩展的操作监控和故障管理框架。Cacti发布安全公告修复了一个未授权SQL注入漏洞,攻击者可能会利用此漏洞获取管理权限或在服务器上执行任意代码。在 graph_view.php 中存在一个SQL 注入漏洞,由于访客用户在默认情况下无需验证即可访问 graph_view.php,如果访客用户在启用状态,则该漏洞则无需任何授权即可进行利用。
对此,昊之云建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。
cacti<=1.2.24
注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
目前厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
cacti 1.2.25
cacti 1.3.0
https://github.com/Cacti/cacti/security/advisories/GHSA-6r43-q2fw-5wrg
