图片来源:
Cacti
5月12日开源网路效能及配置管理框架Cacti发布1.2.27版,当中总共修补9个漏洞,其中最值得留意的是被列为重大等级的其中,CVE-2024-29895为命令注入漏洞,攻击者可在Cacti伺服器的PHP元件启用register_argc_argv功能的情况下,对伺服器下达任意命令,过程中无须通过身分验证,CVSS风险评为10分。
另一个重大层级的漏洞CVE-2024-25641,此为任意档案写入漏洞,存在于套件汇入功能,一旦攻击者通过身分验证,且取得汇入范本的权限,就有机会在网页伺服器执行任意PHP程式码,从而发动远端程式码执行(RCE)攻击,CVSS风险评分为9.1。
开发团队也针对这次修补的漏洞提供概念性验证(PoC),并呼吁用户尽速套用新版程式。