Cacti<1.2.25 reports_user.php SQL注入漏洞
漏洞描述
Cacti 是一个开源的操作监控和故障管理框架。
Cacti 1.2.25之前版本中由于 reports_user.php 中的 ajax_get_branches 函数未对用户可控的 tree_id 进行过滤,具有 Cacti 登录权限的攻击者可向 /cacti/reports_user.php Api节点发送包含恶意 tree_id 参数的http请求获取数据库中任意数据。如果 Cacti 开启访客模式,攻击者无需身份认证即可利用此漏洞。
漏洞名称 | Cacti<1.2.25 reports_user.php SQL注入漏洞 |
---|---|
漏洞类型 | SQL注入 |
发现时间 | 2023-09-06 |
漏洞影响广度 | 小 |
MPS编号 | MPS-9wzi-k37j |
CVE编号 | CVE-2023-39358 |
CNVD编号 | - |
影响范围
Cacti@[1.0.0, 1.2.25)
cacti@影响所有版本
修复方案
升级Cacti到 1.2.25 或更高版本,参考链接:https://forums.cacti.net/viewtopic.php?p=292797
参考链接
https://www.oscs1024.com/hd/MPS-9wzi-k37j
https://nvd.nist.gov/vuln/detail/CVE-2023-39358
https://github.com/Cacti/cacti/security/advisories/GHSA-gj95-7xr8-9p7g
https://forums.cacti.net/viewtopic.php?p=292797#p292797
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
人人站 CMS 更新 V1.4.8,抖音小程序插件上线
人人站 CMSv1.4.8已经正式上线,本次更新增加了新插件与部分文章功能,具体更新内容如下: 1、[新增]文章内容分页展示功能 2、[修复]模板文件编辑可以打开代码文件的bug 3、[修复]后台添加管理员数据的存储型XSS漏洞 4、抖音小程序插件上架插件库
- 下一篇
Firefox 针对 Vue 3 的优化,响应速度显著提升
Mozilla 官方博客近日发表文章《Faster Vue.js Execution in Firefox》,介绍了 Firefox 开发团队对 Vue 3 进行的优化。 文章写道,在使用 Speedometer 3 对 Firefox 进行基准测试时,他们发现 Vue.js test 的测试结果从 Vue 2 升级到 Vue 3 后出现了性能问题。出现此问题的根本原因是 Vue 3 引入Proxy对象。Proxy 很难优化,因为它们在设计上是通用的,并且可以用来实现更多功能,但也因此出现许多问题。 Speedometer 3 测试表明,部分 Proxy 行为良好、关键路径良好并且被广泛使用,因此 Firefox 决定对其进行优化,使其完全在 JIT 引擎中执行,避免冗余工作。 Firefox 团队称,经过他们的优化,Vue.js 在 Firefox 上的响应速度显著提升。目前这些改进已在 Firefox 118 中进行测试,计划 9 月底正式发布。
相关文章
文章评论
共有0条评论来说两句吧...