Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de Cacti, afin
d’obtenir ou d’altérer des informations.

Gravité : 2/4

Date création : 12/12/2011

PRODUITS CONCERNÉS

– Cacti
– Fedora

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Cacti utilise une base de données MySQL et RRDtool
(Round Robin Database), pour stocker les informations. Les graphes
sont affichés sur un site Apache+PHP. Cependant, plusieurs
vulnérabilités ont été annoncées dans les scripts PHP.

Un attaquant peut contourner l’authentification via le paramètre
login_username. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting dans
graph_settings.php. [grav:2/4]

Un attaquant peut rediriger la victime via graph_settings.php.
[grav:1/4]

Un attaquant peut provoquer un Cross Site Scripting dans
graph_settings.php. [grav:2/4]

Un attaquant peut provoquer un Cross-Site Request Forgery dans
logout.php. [grav:2/4]

Un attaquant peut tester des couples login/password sans limite.
[grav:1/4]

Un attaquant peut tromper la victime via le paramètre num_columns
de graph_settings.php. [grav:1/4]

Un attaquant peut donc employer plusieurs vulnérabilités de Cacti,
afin d’obtenir ou d’altérer des informations.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Cacti-multiples-vulnerabilites-11208