One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8379379 |
| Date de publication | 2023-09-05 22:15:08 (vue: 2023-09-06 01:06:45) |
| Titre | CVE-2023-30534 |
| Texte | CACTI est un cadre de surveillance opérationnelle et de gestion des défauts open source.Il y a deux cas de désérialisation incertaine dans CACTI version 1.2.24.Bien qu'une chaîne de gadgets viable existe dans le répertoire des fournisseurs de cactus et acirc; & euro;Chaque instance de désérialisation non sécurisée est due à l'utilisation de la fonction non sérialisée sans désinfecter l'entrée utilisateur.Cacti a a & acirc; & euro; & oelig; Safe & acirc; & euro; & # 65533;désérialisation qui tente de désinfecter le contenu et de vérifier les valeurs spécifiques avant d'appeler un non-série, mais elle n'est pas utilisée dans ces cas.Le code vulnérable se trouve dans graphs_new.php, spécifiquement dans la fonction host_new_graphs_save.Ce problème a été résolu dans la version 1.2.25.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Cacti is an open source operational monitoring and fault management framework. There are two instances of insecure deserialization in Cacti version 1.2.24. While a viable gadget chain exists in Cacti’s vendor directory (phpseclib), the necessary gadgets are not included, making them inaccessible and the insecure deserializations not exploitable. Each instance of insecure deserialization is due to using the unserialize function without sanitizing the user input. Cacti has a “safe� deserialization that attempts to sanitize the content and check for specific values before calling unserialize, but it isn’t used in these instances. The vulnerable code lies in graphs_new.php, specifically within the host_new_graphs_save function. This issue has been addressed in version 1.2.25. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
| Envoyé | Oui |
| Condensat | 2023 30534 addressed advised are attempts been before but cacti cacti’s calling chain check code content cve deserialization deserializations directory due each exists exploitable fault framework function gadget gadgets graphs has host inaccessible included input insecure instance instances isn’t issue known lies making management monitoring necessary new not open operational php phpseclib sanitize sanitizing save source specific specifically them these two unserialize upgrade used user users using values vendor version viable vulnerability vulnerable within without workarounds “safe� |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.