Vigil@nce - Cacti : injection shell via lib/rrd.php
avril 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut injecter des commandes shell via lib/rrd.php,
afin d’élever ses privilèges.
– Produits concernés : Cacti, Fedora
– Gravité : 2/4
– Date création : 03/04/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cacti utilise rrd pour gérer les données.
Cependant, le script lib/rrd.php ne filtre pas les caractères
shell.
Un attaquant peut donc injecter des commandes shell via
lib/rrd.php, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cacti-injection-shell-via-lib-rrd-php-14517