CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/03/2016

Vulnerabilidades en Cacti

Dos inyecciones SQL permitirían ejecutar código arbitrario

Riesgo: Medio

Se han descubierto dos vulnerabilidades en Cacti, la interfaz web para sistemas de monitorización, consistentes en sendas inyecciones SQL. Una consulta especialmente diseñada podría permitir a un atacante la ejecución remota de código a través del script de PHP graphs_new.php.

Sistemas Afectados:

Debian Wheezy, Debian Jessie, Debian Stretch y Debian Sid.

Referencias:

CVE-2015-8377, CVE-2015-8604

Solución:

Actualizar los paquetes de Cacti a la última versión:

Wheezy 0.8.8a+dfsg-5+deb7u8

Jessie 0.8.8b+dfsg-8+deb8u4

Stretch 0.8.8f+ds1-4

Sid 0.8.8f+ds1-4

Notas: None
Fuente: Debian

CSIRT-CV