{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Cacti 0.8.6d et versions ant\u00e9rieures.</p>","content":"## Description\n\nCacti propose une interface web \u00e0 l'outil RRDTool bas\u00e9e sur le langage\nde scripts PHP.\n\nDe multiples vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans Cacti :\n\n-   une vuln\u00e9rabilit\u00e9 de type injection de commandes SQL peut \u00eatre\n    exploit\u00e9e par un utilisateur distant mal intentionn\u00e9 afin de\n    r\u00e9aliser des requ\u00eates SQL arbitraires sur la base de donn\u00e9es ;\n-   une vuln\u00e9rabilit\u00e9 dans les scripts config_settings.php et\n    yop_graph_header.php peuvent \u00eatre exploit\u00e9es par un utilisateur\n    distant mal intentionn\u00e9 afin d'ex\u00e9cuter du code arbitraire sur le\n    serveur web vuln\u00e9rable.\n\n## Contournement provisoire\n\nPositionner la variable register_globals \u00e0 Off afin de pr\u00e9venir\nl'injection de code arbitraire.\n\nDans l'attente de l'application des correctifs, restreindre l'acc\u00e8s au\nserveur web.\n\n## Solution\n\nLa version 0.8.6e de Cacti corrige ces vuln\u00e9rabilit\u00e9s.\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200506-20 du 22 juin 2005    :","url":"http://www.gentoo.org/security/en/glsa/glsa-200506-20.xml"},{"title":"Bulletin de s\u00e9curit\u00e9 #267 d'iDEFENSE du 22 juin 2005 :","url":"http://www.idefense.com/application/poi/display?id=267"},{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD du 21 juin 2005 :","url":"http://www.vuxml.org/freebsd/pkg-cacti.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-764 du 21 juillet 2005 :","url":"http://www.debian.org/security/2005/dsa-764"},{"title":"Bulletin de s\u00e9curit\u00e9 #266 d'iDEFENSE du 22 juin 2005 :","url":"http://www.idefense.com/application/poi/display?id=266"},{"title":"Bulletin de s\u00e9curit\u00e9 #265 d'iDEFENSE du 22 juin 2005 :","url":"http://www.idefense.com/application/poi/display?id=265"},{"title":"Annonce de la sortie de la version 0.8.6e :","url":"http://www.cacti.net/release_notes_0_8_6e.php"}],"reference":"CERTA-2005-AVI-227","revisions":[{"description":"version initiale.","revision_date":"2005-06-23T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-764.","revision_date":"2005-07-21T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":null,"title":"Multiples vuln\u00e9rabilit\u00e9s de Cacti","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 iDEFENSE du 22 juin 2005","url":null}]}