Otkrivene su višestruke ranjivosti programskog paketa cacti. Udaljeni zlonamjerni korisnik može ih iskoristiti za izvođenje XSS napada i izvršavanje proizvoljnih SQL naredbi.

Paket: cacti 0.x
Operacijski sustavi: Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost: 7.5
Problem: pogreška u programskoj komponenti, XSS
Iskorištavanje: udaljeno
Posljedica: proizvoljno izvršavanje programskog koda, umetanje HTML i skriptnog koda
Rješenje: programska zakrpa proizvođača
CVE: CVE-2010-1644, CVE-2010-1645, CVE-2010-2543, CVE-2010-2545, CVE-2011-4824
Izvorni ID preporuke: DSA-2384-1
Izvor: Debian
 
Problem:
U radu programskog paketa cacti uočene su ranjivosti zbog pogreške u datoteci include/top_graph_header.php te neodgovarajuće obrade pojedinih parametara predanih datotekama host.php, data_sources.php, data_queries.php, data_templates.php, itd. Također, postoji i SQL ranjivost u auth_login.php.

Posljedica:
Zlonamjerni napadač može iskoristiti navedene ranjivosti za umetanje skripti koje omogućuju izvođenje XSS napada te za pokretanje proizvoljnih SQL naredbi.

Rješenje:
Svim korisnicima savjetuje se korištenje dostupne programske nadogradnje.


Izvorni tekst preporuke
Idi na vrh