Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en la autenticación de Cacti

Vulnerabilidad en la autenticación de Cacti

Fecha de publicación: 
01/02/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • 0.8.8 (Base, a, b, c, d, e, f)
  • 0.8.7 (Base, a, c, d, e, g, h, i)
  • 0.8.6 (Base, a, b, c, d, e, f, f-1, g, i, j, k)
Descripción: 

Una vulnerabilidad en el proceso de autenticación de Cacti puede ser aprovechada para que un usuario remoto no registrado evada el sistema de autenticación de la plataforma.

Solución: 

Descargar una versión no afectada por la vulnerabilidad desde la página oficial pudiéndose realizar una instalación limpia o una actualización.

Detalle: 

En el proceso de autenticación de un usuario, la validación insuficiente en los datos de entrada permite que se llene la base de datos de logs con mensajes de error si se realizan múltiples intentos con nombres de usuario no registrados en el sistema. Este hecho permite sortear el proceso de autenticación por parte de un usuario no registrado, obteniéndose así el control total sobre la aplicación. Se ha reservado el CVE-2016-2313.