Uma vulnerabilidade de injeção de SQL (CVE-2023-51448) no Cacti, um framework amplamente utilizado para monitoramento de rede, gerenciamento de desempenho e falhas, pode levar à divulgação de informações e, potencialmente, à execução remota de código.
O Cacti é frequentemente usado em centros de operações de rede de telecomunicações e provedores de hospedagem na web para coletar dados de desempenho de rede e armazená-los no RRDtool, um sistema de banco de dados e gráficos que cria representações gráficas dos dados coletados por meio de uma interface web. Esta vulnerabilidade está no recurso de Receptores de Notificação SNMP do Cacti e pode permitir que um ator de ameaças revele todo o conteúdo do banco de dados do Cacti ou, dependendo da configuração do banco de dados, até mesmo desencadeie a execução remota de código (RCE).
“Um atacante autenticado com permissão de ‘Configurações/Utilitários’ pode enviar uma solicitação HTTP GET manipulada para o endpoint ‘/cacti/managers.php’ com um payload SQLi no parâmetro HTTP GET ‘selected_graphs_array'”, informou o Cacti em um aviso de segurança. Há um ano, servidores Cacti expostos à internet foram alvo de atacantes que utilizaram um exploit para a CVE-2022-46169, uma falha crítica de injeção de comando que poderia ser explorada remotamente por usuários não autenticados.