Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La popular herramienta de monitoreo de red Cacti liberó el pasado domingo una actualización de seguridad para solucionar 12 vulnerabilidades, entre ellas 2 críticas que podrían derivar en la ejecución remota de comandos.
- CVE-2024-29895(CVSS 10.0); Inyección de comando en "cmd_realtime".
- CVE-2024-25641(CVSS 9.1); Ejecución de comandos al importar paquetes.
Recursos afectados
Afecta a todas las versiones de Cacti, incluida la 1.2.26
Solución
Actualizar a la versión 1.2.27 publicada el 13 de mayo.
Pruebas de concepto
- https://github.com/Cacti/cacti/security/advisories/GHSA-cr28-x256-xf5m
- https://github.com/Cacti/cacti/security/advisories/GHSA-7cmj-g5qc-pj88
- https://github.com/Cacti/cacti/security/advisories/GHSA-vjph-r677-6pcc
- https://github.com/Cacti/cacti/security/advisories/GHSA-cx8g-hvq8-p2rv
Recomendaciones
Actualizar siguiendo los pasos recomendados por el proyecto, archivo README.md