Une vulnérabilité d’injection SQL aveugle dans Cacti, un cadre de surveillance de réseau, de performance et de gestion des pannes largement utilisé, pourrait conduire à la divulgation d’informations et potentiellement à l’exécution de code à distance.
Cacti est souvent utilisé dans les centres d’exploitation de réseaux des fournisseurs de télécommunications et d’hébergement web, pour collecter des données sur les performances du réseau et les stocker dans RRDtool, une base de données et un système de journalisation et de graphisme qui, par le biais d’une interface web, crée des représentations graphiques des données collectées.
CVE-2023-51448 est une vulnérabilité dans la fonctionnalité des récepteurs de notification SNMP de Cacti qui pourrait permettre à un attaquant moderne de divulguer tout le contenu de la base de données Cacti ou même, selon la configuration de la base de données, de déclencher une exécution de code à distance.
« Un attaquant authentifié disposant de la permission ‘Settings/Utilities’ peut envoyer une requête HTTP GET élaborée au point de terminaison ‘/cacti/managers.php’ avec une charge utile SQLi dans le paramètre HTTP GET ‘selected graphs array' », a indiqué Cacti dans l’avis de sécurité.
Les responsables de Cacti ont décrit une attaque possible et indiquent qu’un script PoC pour la tester est disponible « sur demande ».
Il y a un an, des serveurs Cacti exposés à l’internet ont été pris pour cible par des attaquants qui exploitaient CVE-2022-46169, une faille critique d’injection de commande qui pouvait être exploitée à distance par des utilisateurs non authentifiés.
