Cacti < 0.8.8d 多种漏洞
high Nessus 插件 ID 84549
语言:
简介
远程 Web 服务器正在运行受到多种漏洞影响的 PHP 应用程序。描述
根据其自我报告的版本号,远程 Web 服务器上运行的 Cacti 应用程序低于版本 0.8.8d。因此,它可能受到多种漏洞的影响:- 由于未正确验证 graphs.php 中用户提供的输入,存在存储跨站脚本漏洞。远程攻击者可利用此漏洞注入任意 Web 脚本或 HTML。(CVE-2015-2665)
- 由于未正确验证用户对 cdef.php 中的“cdef”参数提供的输入,存在 SQL 注入漏洞。远程攻击者可利用此缺陷执行任意 SQL 命令。(CVE-2015-4342)
- 由于未正确验证用户对 graph_templates.php 中的“graph_template_id”参数提供的输入,存在 SQL 注入漏洞。远程攻击者可利用此缺陷执行任意 SQL 命令。(CVE-2015-4454)
解决方案
升级到 Cacti 0.8.8d 或更高版本。另见
http://www.cacti.net/release_notes_0_8_8d.php
http://www.fortiguard.com/advisory/FG-VD-15-017/
插件详情
严重性: High
ID: 84549
文件名: cacti_088d.nasl
版本: 1.9
类型: remote
系列: CGI abuses
发布时间: 2015/7/6
最近更新时间: 2022/4/11
配置: 启用偏执模式, 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2015-4454
漏洞信息
CPE: cpe:/a:cacti:cacti
必需的 KB 项: www/PHP, Settings/ParanoidReport, installed_sw/cacti
易利用性: No known exploits are available
补丁发布日期: 2015/6/9
漏洞发布日期: 2015/6/9