S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 décembre 2011
N° CERTA-2011-AVI-699
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Cacti

Gestion du document

Référence CERTA-2011-AVI-699
Titre Multiples vulnérabilités dans Cacti
Date de la première version 15 décembre 2011
Date de la dernière version 15 décembre 2011
Source(s) Note de sortie de Cacti 0.8.7i
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Injection de code indirecte à distance
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Injection SQL

Systèmes affectés

Cacti versions antérieures à 0.8.7i.

Résumé

Plusieurs vulnérabilités dans Cacti permettent à une personne malintentionnée d'effectuer plusieurs types d'injections pouvant mener à une compromission.

Description

Les vulnérabilités suivantes ont été corrigées dans Cacti :

  • Contournement de l'authentification au moyen d'une injection SQL sur le paramètre login_username dans la page /cacti/index.php.
  • Injections de code indirecte à distance (cross-site scripting) dans la page /cacti/graph_settings.php.
  • Injection de requête illégitime par rebond (cross-site request forgery) dans la page /cacti/logout.php.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La version 0.8.7i corrige le problème.

Documentation

Gestion détaillée du document

    le 15 décembre 2011
    version initiale.