Cacti<1.2.25 reports_user.php SQL注入漏洞
漏洞描述
Cacti 是一个开源的操作监控和故障管理框架。
Cacti 1.2.25之前版本中由于 reports_user.php 中的 ajax_get_branches 函数未对用户可控的 tree_id 进行过滤,具有 Cacti 登录权限的攻击者可向 /cacti/reports_user.php Api节点发送包含恶意 tree_id 参数的http请求获取数据库中任意数据。如果 Cacti 开启访客模式,攻击者无需身份认证即可利用此漏洞。
漏洞名称 | Cacti<1.2.25 reports_user.php SQL注入漏洞 |
---|---|
漏洞类型 | SQL注入 |
发现时间 | 2023-09-06 |
漏洞影响广度 | 小 |
MPS编号 | MPS-9wzi-k37j |
CVE编号 | CVE-2023-39358 |
CNVD编号 | - |
影响范围
Cacti@[1.0.0, 1.2.25)
cacti@影响所有版本
修复方案
升级Cacti到 1.2.25 或更高版本,参考链接:https://forums.cacti.net/viewtopic.php?p=292797
参考链接
https://www.oscs1024.com/hd/MPS-9wzi-k37j
https://nvd.nist.gov/vuln/detail/CVE-2023-39358
https://github.com/Cacti/cacti/security/advisories/GHSA-gj95-7xr8-9p7g
https://forums.cacti.net/viewtopic.php?p=292797#p292797
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
人人站 CMS 更新 V1.4.8,抖音小程序插件上线
人人站 CMSv1.4.8已经正式上线,本次更新增加了新插件与部分文章功能,具体更新内容如下: 1、[新增]文章内容分页展示功能 2、[修复]模板文件编辑可以打开代码文件的bug 3、[修复]后台添加管理员数据的存储型XSS漏洞 4、抖音小程序插件上架插件库
- 下一篇
Firefox 针对 Vue 3 的优化,响应速度显著提升
Mozilla 官方博客近日发表文章《Faster Vue.js Execution in Firefox》,介绍了 Firefox 开发团队对 Vue 3 进行的优化。 文章写道,在使用 Speedometer 3 对 Firefox 进行基准测试时,他们发现 Vue.js test 的测试结果从 Vue 2 升级到 Vue 3 后出现了性能问题。出现此问题的根本原因是 Vue 3 引入Proxy对象。Proxy 很难优化,因为它们在设计上是通用的,并且可以用来实现更多功能,但也因此出现许多问题。 Speedometer 3 测试表明,部分 Proxy 行为良好、关键路径良好并且被广泛使用,因此 Firefox 决定对其进行优化,使其完全在 JIT 引擎中执行,避免冗余工作。 Firefox 团队称,经过他们的优化,Vue.js 在 Firefox 上的响应速度显著提升。目前这些改进已在 Firefox 118 中进行测试,计划 9 月底正式发布。
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- MySQL8.0.19开启GTID主从同步CentOS8