2020-1509: Cacti: Mehrere Schwachstellen ermöglichen u. a. einen SQL-Injektionsangriff
Historie:
- Version 1 (2020-07-15 10:54)
- Neues Advisory
- Version 2 (2020-07-27 12:07)
- Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'cacti' bereit. Die betroffene Software wird damit auf Version 1.2.13 aktualisiert.
- Version 3 (2020-07-28 11:56)
- Für openSUSE Backports SLE 15 SP1 stehen Sicherheitsupdates für 'cacti' und 'cacti-spine' zur Verfügung. Cacti wird mittels des Updates auf Version 1.2.13 aktualisiert, um die aufgeführten Schwachstellen zu beheben.
Betroffene Software
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen ermöglichen einem entfernten Angreifer, der in einem Fall über erweiterte Rechte verfügen muss, das Ausführen eines SQL-Injektionsangriffs, die Durchführung von Cross-Site-Scripting (XSS)-Angriffen, das Ausführen beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen. Mehrere Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf weitere Komponenten betroffener Systeme haben.
Für Cacti steht die Version 1.2.13 als Sicherheitsupdate zur Verfügung. Mit dieser Version von Cacti werden gleichzeitig das gebündelte jQuery aktualisiert, um zwei Cross-Site-Scripting (XSS)-Schwachstellen zu beheben, und das gebündelte PHPMailer auf Version 6.1.6 aktualisiert, um die Schwachstelle CVE-2020-13625 zu beheben.
Für Fedora 31 und 32 sowie Fedora EPEL 7 und 8 stehen jeweils die Pakete 'cacti-1.2.13-1' und 'cacti-spine-1.2.13-1' im Status 'testing' als Sicherheitsupdates zur Verfügung.
Schwachstellen:
CACTI-SECURITY-3549
Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-AngriffCACTI-SECURITY-3628
Schwachstelle in Cacti ermöglicht Cross-Site-Scripting-AngriffCVE-2020-11022
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11023
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-13625
Schwachstelle in PHPMailer ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-14295
Schwachstelle in Cacti ermöglicht SQL-Injektionsangriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.