CVE-2024-31460

Versões do Cacti anteriores à 1.2.27

O Cacti fornece uma estrutura de monitoramento operacional e gerenciamento de falhas. Antes da versão 1.2.27, alguns dos dados armazenados em automation tree rules.php não são verificados completamente e são usados para concatenar a instrução SQL na função create all header nodes() de lib/api automation.php, resultando, por fim, em injeção de SQL. Utilizando tecnologia de injeção secundária baseada em SQL, invasores podem modificar o conteúdo do banco de dados do Cacti e, com base no conteúdo modificado, pode ser possível causar impactos adicionais, como leitura arbitrária de arquivos e até mesmo execução remota de código por meio da gravação arbitrária de arquivos.

Para resolver o problema, atualize para a versão 1.2.27 ou posterior, pois ela contém um patch para a vulnerabilidade. Como solução temporária, considere restringir o acesso à função create all header nodes() e ao arquivo automation tree rules.php para minimizar o risco de exploração. Além disso, evite usar a concatenação de instruções SQL vulnerável no arquivo lib/api automation.php até que o problema seja resolvido.