Se
han anunciado dos vulnerabilidades en Cacti
que podrían permitir a un atacante remoto realizar ataques de inyección SQL.
Cacti es un software
especialmente diseñado para crear gráficas de monitorización mediante los datos
obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno
de los sistemas de creación de gráficas más empleado en el mundo de la
administración de sistemas y puede encontrarse como parte fundamental de otros
programas.
Los problemas residen en una
validación inadecuada de los datos introducidos por el usuario. En uno de los
casos en 'graphs_new.php' falla
al tratar el parámetro 'selected_graphs_array'
(CVE-2015-8377); por otra parte 'graph.php' tampoco
valida adecuadamente las entradas del parámetro 'rra_id' (CVE-2015-8369). Un atacante remoto podría introducir
valores específicamente manipulados para ejecutar comandos SQL en la base de
datos subyacente.
Se han publicado pruebas de
concepto que muestran los ataques. Aun no se ha publicado una versión actualizada
que corrija estos problemas.
Más información:
[CVE-2015-8369] Cacti SQL injection in
graph.php
Cacti SQL Injection Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario