Sicherheitslücken in der Monitoring-Software Cacti ermöglichen das Einschleusen von Schadcode

Cacti veröffentlicht die neue Version 1.2.27, die mehrere Sicherheitslücken schließt, darunter solche mit dem Schweregrad „kritisch“, die es Angreifern ermöglichen, Schadcode einzuschleusen oder durch SQL-Injections Schaden anzurichten.

Das Changelog verzeichnet neun Sicherheitspatches für Cacti. Unter anderem können angemeldete Nutzer mit Berechtigung zur Vorlagenimportierung aufgrund einer Schwachstelle in der Paket-Import-Funktion beliebigen Schadcode einschleusen, indem sie beliebige Dateien schreiben (CVE-2024-25641, CVSS 9.1, Risikostufe „kritisch“).

https://www.heise.de/news/Monitoring-Software-Cacti-Sicherheitsluecken-erlauben-Einschleusen-von-Schadcode-9717005.html