Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05453

Опубликовано: 05 сент. 2023
Источник: fstec
CVSS3: 6.1
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость сценария data_debug.php программного средства мониторинга сети Cacti существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Вендор

The Cacti Group Inc.

Наименование ПО

Cacti

Версия ПО

до 1.2.25 (Cacti)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/Cacti/cacti/security/advisories/GHSA-hrg9-qqqx-wc4h

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00235
Низкий

6.1 Medium

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-39515

CVSS3: 6.1
ubuntu
больше 2 лет назад

Cacti is an open source operational monitoring and fault management framework. Affected versions are subject to a Stored Cross-Site-Scripting (XSS) Vulnerability allows an authenticated user to poison data stored in the cacti's database. These data will be viewed by administrative cacti accounts and execute JavaScript code in the victim's browser at view-time. The script under `data_debug.php` displays data source related debugging information such as _data source paths, polling settings, meta-data on the data source_. _CENSUS_ found that an adversary that is able to configure a malicious data-source path, can deploy a stored XSS attack against any user that has privileges related to viewing the `data_debug.php` information. A user that possesses the _General Administration>Sites/Devices/Data_ permissions can configure the data source path in _cacti_. This configuration occurs through `http://<HOST>/cacti/data_sources.php`. This vulnerability has been addressed in version 1.2.25. Us...

nvd логотип

CVE-2023-39515

CVSS3: 6.1
nvd
больше 2 лет назад

Cacti is an open source operational monitoring and fault management framework. Affected versions are subject to a Stored Cross-Site-Scripting (XSS) Vulnerability allows an authenticated user to poison data stored in the cacti's database. These data will be viewed by administrative cacti accounts and execute JavaScript code in the victim's browser at view-time. The script under `data_debug.php` displays data source related debugging information such as _data source paths, polling settings, meta-data on the data source_. _CENSUS_ found that an adversary that is able to configure a malicious data-source path, can deploy a stored XSS attack against any user that has privileges related to viewing the `data_debug.php` information. A user that possesses the _General Administration>Sites/Devices/Data_ permissions can configure the data source path in _cacti_. This configuration occurs through `http://<HOST>/cacti/data_sources.php`. This vulnerability has been addressed in version 1.2.25. Users

debian логотип

CVE-2023-39515

CVSS3: 6.1
debian
больше 2 лет назад

Cacti is an open source operational monitoring and fault management fr ...

suse-cvrf логотип

openSUSE-SU-2023:0275-1

suse-cvrf
больше 2 лет назад

Security update for cacti, cacti-spine

EPSS

Процентиль: 46%
0.00235
Низкий

6.1 Medium

CVSS3

8.5 High

CVSS2