圖片來源:
Cacti
5月12日開源網路效能及配置管理框架Cacti發布1.2.27版,當中總共修補9個漏洞,其中最值得留意的是被列為重大等級的CVE-2024-29895、CVE-2024-25641。
其中,CVE-2024-29895為命令注入漏洞,攻擊者可在Cacti伺服器的PHP元件啟用register_argc_argv功能的情況下,對伺服器下達任意命令,過程中無須通過身分驗證,CVSS風險評為10分。
另一個重大層級的漏洞CVE-2024-25641,此為任意檔案寫入漏洞,存在於套件匯入功能,一旦攻擊者通過身分驗證,且取得匯入範本的權限,就有機會在網頁伺服器執行任意PHP程式碼,從而發動遠端程式碼執行(RCE)攻擊,CVSS風險評分為9.1。
開發團隊也針對這次修補的漏洞提供概念性驗證(PoC),並呼籲用戶儘速套用新版程式。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20
Advertisement