運用監視ツール「Cacti」に複数の脆弱性 - アップデートで解消

運用監視ツール「Cacti」に複数の脆弱性が明らかとなった。アップデートが提供されている。

「同1.2.27」および以前のバージョンに4件の脆弱性が明らかとなったもの。具体的には、悪意あるホスト名をログに記録する「ログポイズニング」の脆弱性「CVE-2024-43363」が判明した。

PHPファイルをログファイルとして用いていた場合、ログファイルに記録された悪意あるURLにアクセスするとコマンドが実行されるおそれがある。

さらにクロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-43362」「CVE-2024-43364」「CVE-2024-43365」なども含まれる。

GitHubによる共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2024-43363」が「7.2」、「CVE-2024-43362」が「7.3」。いずれも重要度は「高（High）」とした。のこる2件はともにCVSS基本値が「5.7」、重要度は「中（Moderate）」と評価されている。

開発チームでは、現地時間10月7日にこれら脆弱性に対処した「同1.2.28」をリリース。あわせてバグの修正や機能の追加、サードパーティ製ソフトウェアのアップデートなどを行っている。

（Security NEXT - 2024/10/08 ） ツイート

PR

関連記事

「NVIDIA DGX Spark」に複数脆弱性 - 重要度「クリティカル」も
「Azure Bastion」「SharePoint Online」に深刻な脆弱性 - すでに修正済み
イベント参加者の個人情報含むファイルをメールで誤送信 - 東京都
市営住宅入居者の個人情報含むディスクを紛失 - 京都市
飲食店営業許可施設一覧に誤って個人情報を誤掲載 - 神奈川県
関係者向けメールを誤送信、訂正メール急いで発生 - 鳥取県
リフォーム業者口コミサイト、一部顧客情報が流出した可能性
「SonicWall Email Security」に複数脆弱性 - アップデートが公開
「Oracle Fusion Middleware」の脆弱性悪用に注意喚起 - 米当局
「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ