Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00089

Опубликовано: 13 нояб. 2023
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость сценария templates_import.php программного средства мониторинга сети Cacti связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки и получить несанкционированный доступ на чтение, изменение или удаление данных

Вендор

The Cacti Group Inc.

Наименование ПО

Cacti

Версия ПО

1.2.25 (Cacti)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/Cacti/cacti/releases/tag/release%2F1.2.26
https://www.cacti.net/info/downloads

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02686
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-50250

CVSS3: 5.4
ubuntu
около 2 лет назад

Cacti is an open source operational monitoring and fault management framework. A reflection cross-site scripting vulnerability was discovered in version 1.2.25. Attackers can exploit this vulnerability to perform actions on behalf of other users. The vulnerability is found in `templates_import.php.` When uploading an xml template file, if the XML file does not pass the check, the server will give a JavaScript pop-up prompt, which contains unfiltered xml template file name, resulting in XSS. An attacker exploiting this vulnerability could execute actions on behalf of other users. This ability to impersonate users could lead to unauthorized changes to settings. As of time of publication, no patched versions are available.

nvd логотип

CVE-2023-50250

CVSS3: 5.4
nvd
около 2 лет назад

Cacti is an open source operational monitoring and fault management framework. A reflection cross-site scripting vulnerability was discovered in version 1.2.25. Attackers can exploit this vulnerability to perform actions on behalf of other users. The vulnerability is found in `templates_import.php.` When uploading an xml template file, if the XML file does not pass the check, the server will give a JavaScript pop-up prompt, which contains unfiltered xml template file name, resulting in XSS. An attacker exploiting this vulnerability could execute actions on behalf of other users. This ability to impersonate users could lead to unauthorized changes to settings. As of time of publication, no patched versions are available.

debian логотип

CVE-2023-50250

CVSS3: 5.4
debian
около 2 лет назад

Cacti is an open source operational monitoring and fault management fr ...

suse-cvrf логотип

openSUSE-SU-2024:0031-1

suse-cvrf
около 2 лет назад

Security update for cacti, cacti-spine

EPSS

Процентиль: 85%
0.02686
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2