Se ha publicado una nueva versión de Cacti (0.8.8d) destinada a corregir, entre otros problemas, varios fallos de seguridad. Estos errores permitirían a un atacante remoto realizar ataques de inyección SQL y de Cross-Site scripting.
Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Los errores se detallan a continuación:
- CVE-2015-4342: Debido a un error de validación de entradas, un atacante remoto podría ejecutar comandos SQL en la base de datos subyacente a través de parámetros especialmente manipulados. El parámetro «cdef id» se encuentra relacionado con esta vulnerabilidad.
- CVE-2015-2665: Se debe a un error al no filtrar correctamente código HTML proporcionado por el usuario. Un atacante remoto podría ejecutar código arbitrario en el contexto del usuario que lanza el navegador, lo que le permitiría obtener acceso a las cookies del usuario, incluidas las de autenticación.
Se recomienda actualizar a la última versión 0.8.8d.
Más información:
Multiple vulnerabilities fixed in Cacti 0.8.8d
Juan Sánchez
