CRITICAL🇬🇧 English

CVE-2026-39938

Niezautoryzowany path traversal i command injection w Cacti (LFI)

CVSS 9.8v3.1pub. 2026-06-24upd. 2026-06-26

Cacti w wersjach 1.2.30 i starszych zawiera krytyczną podatność umożliwiającą niezautoryzowanemu atakującemu wykonanie ataku path traversal (LFI) poprzez parametr graph_theme oraz mechanizm serializacji IPC rrdtool. Podatność nie wymaga żadnego uwierzytelnienia, co czyni ją wyjątkowo niebezpieczną dla publicznie dostępnych instancji.

Pokaż oryginał (EN)

Cacti is an open source performance and fault management framework. Versions 1.2.30 and prior have unauthenticated LFI through graph_theme and rrdtool IPC serialization hardening. This issue has been resolved in version 1.2.31.

🤖 Analiza AI
Jak działa

Atakujący bez posiadania jakichkolwiek poświadczeń może manipulować parametrem graph_theme w taki sposób, aby wymusić odczyt dowolnych plików z systemu (Local File Inclusion). Dodatkowo, niewystarczające zabezpieczenie serializacji IPC w komunikacji z narzędziem rrdtool stwarza możliwość wstrzyknięcia poleceń systemowych (command injection). Połączenie tych dwóch wektorów (CWE-22 i CWE-78) pozwala na eskalację ataku do pełnego wykonania kodu na serwerze.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — odczytywać dowolne pliki systemowe (w tym dane uwierzytelniające), a poprzez command injection wykonywać dowolne polecenia systemu operacyjnego, co skutkuje kompromitacją poufności, integralności oraz dostępności systemu.

Mitygacja

Należy niezwłocznie zaktualizować Cacti do wersji 1.2.31, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu na GitHub (commit 9871f0cef9af285398d558c9b3188d5977e01a04).

Kogo dotyczy

Cacti w wersji 1.2.30 oraz wszystkich wcześniejszych wersjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cacti

    APP
    Cacti
    < 1.2.31
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path TraversalCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2022-46169CRITICAL9.8⚠ KEVten sam produkt

Cacti is an open source platform which provides a robust and extensible operational monitoring and fault manag...

CVE-2026-39948CRITICAL9.3PL ✓ten sam produkt

Cacti: Pre-auth SQL injection przez parametr rfilter (SQLi)

CVE-2026-39955CRITICAL9.8PL ✓ten sam produkt

SQL Injection przed uwierzytelnieniem w Cacti (graph_view.php)

CVE-2026-39893CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Cacti — atak bez uwierzytelnienia przez parametr rfilter

CVE-2025-22604CRITICAL9.1PL ✓ten sam produkt

Cacti: Command Injection przez malformowane OID w parserze SNMP

CVE-2026-39938 — Niezautoryzowany path traversal i command injection w Cacti (LFI) — CRITICAL 9.8 | CVEbaza.pl