El equipo detrás de Cacti, un marco de gestión de red y control de errores de código abierto, ha solucionado varios problemas de seguridad, incluyendo dos problemas críticos que podrían resultar en la ejecución de código arbitrario.
Una de las vulnerabilidades más graves es CVE-2024-25641 (puntuación CVSS: 9.1). Esta vulnerabilidad permite a usuarios autenticados con permiso de «Importar Plantillas» ejecutar código PHP arbitrario en el servidor web a través de la función «Importar Paquete», lo que conlleva a la ejecución remota de código.
Otra vulnerabilidad crítica, CVE-2024-29895 (puntuación CVSS: 10.0), posibilita a cualquier usuario no autenticado ejecutar un comando arbitrario en el servidor siempre que la opción «register_argc_argv» de PHP esté activada, como resultado de una vulnerabilidad de inyección de comandos.
Además, Cacti abordó dos fallos de alta gravedad que podrían permitir la ejecución de código a través de inyección SQL e inclusión de archivos. La vulnerabilidad CVE-2024-31445 (puntuación CVSS: 8.8) en api_automation.php permite a usuarios autenticados realizar escalada de privilegios y ejecución remota de código. Por otro lado, CVE-2024-31459 (puntuación CVSS: N/A) es un problema de inclusión de archivos en el archivo «lib/plugin.php» que podría combinarse con vulnerabilidades de inyección SQL para resultar en la ejecución remota de código.
Es importante resaltar que 10 de las 12 fallas, exceptuando CVE-2024-29895 y CVE-2024-30268 (puntuación CVSS: 6.1), afectan a todas las versiones de Cacti, incluyendo y anteriores a la 1.2.26. Estas se han abordado en la versión 1.2.27 lanzada el 13 de mayo de 2024. Las otras dos afectan a las versiones de desarrollo 1.3.x.
Estas medidas se toman luego de más de ocho meses desde la divulgación de otra vulnerabilidad crítica de inyección SQL (CVE-2023-39361, puntuación CVSS: 9.8) que podría permitir a un atacante obtener permisos elevados y ejecutar código malicioso. Además, a principios de 2023, un tercer fallo crítico, rastreado como CVE-2022-46169 (puntuación CVSS: 9.8), fue objeto de explotación activa en la naturaleza, permitiendo a actores amenazantes vulnerar servidores de Cacti expuestos en internet para distribuir malware botnet como MooBot y ShellBot.
Debido a la disponibilidad de exploits de prueba de concepto (PoC) para estas deficiencias en las respectivas notas de asesoramiento de GitHub, se recomienda a los usuarios actualizar sus instancias a la última versión lo antes posible para mitigar posibles amenazas.
Vía The Hacker News
