Se han anunciado dos vulnerabilidades en Cacti que podrían permitir a un atacante remoto realizar ataques de inyección SQL.
Cacti es un software especialmente diseñado
para crear gráficas de monitorización mediante los datos obtenidos por
diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas
de creación de gráficas más empleado en el mundo de la administración de
sistemas y puede encontrarse como parte fundamental de otros programas.
Detalle e Impacto de las vulnerabilidades
- Los problemas residen en una validación inadecuada de los datos introducidos por el usuario. En uno de los casos en 'graphs_new.php' falla al tratar el parámetro 'selected_graphs_array' (CVE-2015-8377); por otra parte 'graph.php' tampoco valida adecuadamente las entradas del parámetro 'rra_id' (CVE-2015-8369). Un atacante remoto podría introducir valores específicamente manipulados para ejecutar comandos SQL en la base de datos subyacente.
- Se han publicado pruebas de concepto que muestran los ataques. Aun no se ha publicado una versión actualizada que corrija estos problemas.
·
[CVE-2015-8369]
Cacti SQL injection in graph.php http://seclists.org/fulldisclosure/2015/Dec/8
·
Cacti SQL
Injection Vulnerability http://seclists.org/fulldisclosure/2015/Dec/att-57/cacti_sqli%281%29.txt
Fuente:
Hispasec
