Se
ha publicado una nueva versión
de Cacti (0.8.8d) destinada a corregir, entre otros problemas, varios fallos
de seguridad. Estos errores permitirían
a un atacante remoto realizar
ataques de inyección SQL y de Cross-Site scripting.
Cacti es un software
especialmente diseñado para crear gráficas de monitorización mediante los datos
obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno
de los sistemas de creación de gráficas más empleado en el mundo de la
administración de sistemas y puede encontrarse como parte fundamental de otros
programas.
Los errores se detallan a
continuación:
- CVE-2015-4342: Debido a un
error de validación de entradas, un atacante remoto podría ejecutar comandos
SQL en la base de datos subyacente a través de parámetros especialmente
manipulados. El parámetro "cdef id"
se encuentra relacionado con esta vulnerabilidad.
- CVE-2015-2665: Se debe a un error al no filtrar correctamente código HTML proporcionado por el usuario. Un atacante remoto podría ejecutar código arbitrario en el contexto del usuario que lanza el navegador, lo que le permitiría obtener acceso a las cookies del usuario, incluidas las de autenticación.
Se recomienda actualizar a la
última versión 0.8.8d.
Más información:
Multiple vulnerabilities fixed in Cacti 0.8.8d
Juan Sánchez
No hay comentarios:
Publicar un comentario