CVE-2026-39949

Nome do Software Vulnerável e Versões Afetadas Cacti versões anteriores a 1.2.31

Descrição Um problema de execução remota de código autenticado existe onde usuários com permissões de gerenciamento de gráficos ou dispositivos podem executar comandos arbitrários no sistema operacional subjacente. O problema decorre do mecanismo de substituição de variáveis, que permite que modelos de gráficos façam referência a metadados do host usando variáveis como |host description|, |host hostname| e |host notes|. Durante a geração do gráfico, essas variáveis são expandidas e passadas como argumentos para o RRDtool. Como os metadados do host controlados pelo usuário são substituídos sem validação ou sanitização suficiente, entradas maliciosas injetadas em um campo do host podem disparar a execução de código quando um gráfico é renderizado.

Recomendações Atualize para a versão 1.2.31 ou posterior.