DFN-CERT

Advisory-Archiv

2020-0421: Cacti: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2020-03-02 16:10)
Neues Advisory
Version 2 (2020-03-03 10:39)
Für openSUSE Backports SLE 15 SP1 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'cacti' und 'cacti-spine' bereit. 'cacti-spine' wird damit auf Version 1.2.9 aktualisiert.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Es existieren mehrere Schwachstellen in Cacti, die es einem entfernten Angreifer mit erweiterten Rechten bzw. üblichen Benutzerrechten ermöglichen beliebigen Programmcode auszuführen (im ersten Fall mit den Rechten des Dienstes). Zudem kann ein anderer entfernter Angreifer mehrere Cross-Site-Scripting (XSS)-Angriffe durchführen, SQL-Injektionsangriffe ausführen und Sicherheitsvorkehrungen umgehen. Für die Cross-Site-Scripting-Angriffe ist die Interaktion eines Benutzers erforderlich. Ein erfolgreicher Angriff kann dabei Einfluss auf andere Komponenten betroffener Systeme haben.

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der 10 Schwachstellen und zweier weiterer, nicht sicherheitsrelevanter Fehler bereit.

Schwachstellen:

CVE-2009-4112

Schwachstelle in Cacti ermöglicht Ausführung beliebigen Programmcodes mit Rechten des Dienstes

CVE-2018-20723

Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-20724

Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-20725

Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-20726

Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-16723

Schwachstelle in Cacti ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-17357

Schwachstelle in Cacti ermöglicht SQL-Injektionsangriff

CVE-2019-17358

Schwachstelle in Cacti ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2020-7106

Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-7237

Schwachstelle in Cacti ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.