CVE-2024-30268

Nome do software vulnerável e versões afetadas:

Versões 1.3.x do Cacti

Descrição:

Uma vulnerabilidade de cross-site scripting refletido no Cacti permite que invasores obtenham cookies do administrador e de outros usuários e falsifiquem seu login usando os cookies obtidos. Isso está relacionado à falta de medidas para neutralizar elementos especiais na função display settings, que podem ser explorados por um invasor remoto para realizar cross-site scripting usando falsificação de cookies.

Recomendações:

Para as versões 1.3.x, atualize para uma versão que inclua a correção para esta vulnerabilidade, especificamente o commit a38b9046e9772612fda847b46308f9391a49891e.

Como solução temporária, considere restringir o acesso à função display settings para minimizar o risco de exploração.