Cacti 'graph_xport.php' SQL注入漏洞

最新推荐文章于 2024-08-19 22:44:02 发布

weixin_30765319

最新推荐文章于 2024-08-19 22:44:02 发布

阅读量213

点赞数

CC 4.0 BY-SA版权

文章标签： php 数据库

原文链接：http://www.cnblogs.com/security4399/p/3643676.html

Cacti是一款基于PHP、MySQL、SNMP及RRDTool的网络流量监测图形分析工具，发现存在SQL注入漏洞，可能导致未经授权的数据库操作。厂商已发布升级补丁进行修复。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

漏洞版本:

Cacti < 0.8.8b

漏洞描述:

Bugtraq ID:66555

Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。

Cacti 'graph_xport.php'存在SQL注入漏洞，成功利用后可使攻击者执行未授权数据库操作。

<* 参考

http://www.securityfocus.com/bid/66555
http://sebug.net/appdir/Cacti

安全建议:

目前厂商已经发布了升级补丁以修复漏洞，请下载使用：
http://cacti.net/

转载于:https://www.cnblogs.com/security4399/p/3643676.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30765319

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【漏洞复现】Cacti-graph_view-SQL注入（CVE-2023-39361）

知黑而守白

01-20

352

Cacti是一套基于 PHP、MySQL、SNMP 及 RRDTool 开发的网络流量监测图形分析工具。Cacti graph_view接口处存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

Cacti 前台SQL注入漏洞复现（CVE-2023-39361）

0xSec

01-19

1639

该漏洞存在于graph_view.php文件中。默认情况下，访客用户无需身份验证即可访问graph_view.php，在启用情况下使用时会导致SQL注入漏洞。攻击者可能利用此漏洞执行远程代码或篡夺管理权限。Growth_right_pane_tree函数包含从graph_view.php文件调用的漏洞。在tree_content情况下，用户输入通过html_validate_tree_vars函数进行验证。如果tree_id参数大于0，则调用grow_right_pane_tree函数。

参与评论您还未登录，请先登录后发表或查看评论

Cacti SQL注入漏洞分析（CVE-2023-51448）

最新发布

shelter1234567的博客

08-19

882

Cacti 为全球用户提供强大且可扩展的运营监控和故障管理框架。它还是一个完整的网络绘图解决方案，旨在利用的数据存储和绘图功能。Cacti 包括一个完全分布式和容错的数据收集框架、用于设备、图表和树的高级基于模板的自动化功能、多种数据采集方法、通过插件进行扩展的能力、基于角色的用户、组和域管理功能，此外还有一个主题引擎和多种语言支持，所有这些都是开箱即用的。Cacti pollers.php文件接口在SQL注入漏洞。

view.php 漏洞,Cacti graph_view.php SQL注入漏洞

weixin_33498296的博客

03-10

340

存在问题的文件/cacti/graph_view.php:/* ================= input validation ================= */input_validate_input_number(get_request_var_request('branch_id'));input_validate_input_number(get_request_var_req...

cacti lib/rrd.php rrdtoll 1343,Cacti SQL注入漏洞（CNVD-2015-08486）

weixin_42651748的博客

04-01

341

### 0x01 漏洞简述Cacti是Cacti集团的一套开源的网络流量监测和分析工具。该工具通过snmpget来获取数据，使用RRDtool绘画图形进行分析，并提供数据和用户管理功能。Cacti 0.8.8f以前版本存在SQL注入漏洞。允许远程攻击者通过graphphp属性行动中的rra_id参数执行任意SQL命令。### 0x02 漏洞细节漏洞存在于文件/cacti-0.8.8f/graph....

cacti graphs new.php,cacti后台SQL注入漏洞 --解决

weixin_33315077的博客

03-27

654

cacti后台SQL注入漏洞简介cacti后台SQL注入漏洞cacti /graphs_new.php中对$_POST["cg_g"]参数过滤不严，导致SQL注入的发生，可能导致敏感数据泄漏。解决方法在第4步1. 漏洞描述other SQL injection vulnerability via graphs_new.php in cacti was found, reported to the ...

Cacti图形数据自动导出脚本(一)

weixin_33978016的博客

01-14

1123

Cacti图形数据自动导出脚本此脚本在cacti服务器或者其他linux服务器中运行（其他服务器中运行需要打开数据库远程访问权限）脚本通过crontab指定时间下载cacti中图形树中所有的图形的图形文件和CSV数据文件。本脚本根据当前日期创建相应的图形和数据的每日和每月的文件夹并进行保存，方便查看具体注意事项已经在脚本注释中做了详细解释#Cacti图形数据自动导出脚本 #...

cacti1.2.18_install.tar.gz

08-26

cacti1.2.18集成监视器-...安装方法：上传cacti1.2.18_install.tar.gz 然后运行 tar xzvf cacti1.2.18_install.tar.gz && cd cacti1.2.18_install && sh install-cacti-1.2.18.sh 在提示中输入您要设置的mysql的密码

Cacti 工具包 cacti_tools.tar.gz

04-09

Cacti 是一款开源的网络监控和性能度量系统，广泛用于网络管理员和IT专业人员，以跟踪网络设备和服务的性能。Cacti 提供了一个Web界面，使得数据收集、图表绘制以及网络状态监控变得更加简单易用。"Cacti Tools" 是...

cacti_template_apc_humidity_and_temperature.zip

11-11

2. **cacti_graph_template_apc_temperature.xml 和 cacti_graph_template_apc_humidity.xml**：这两个文件分别是温度和湿度的图形模板，定义了数据如何在CACTI中呈现。它们包含了图形样式、颜色配置、Y轴范围等，...

cacti 导出mysql_Cacti图形数据自动导出脚本(二)

weixin_42279320的博客

03-03

361

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100# Cacti图...

Cacti生产环境需求

m0_49679565的博客

03-17

2223

Cacti设置循环归档为5分钟取值

Cacti 每日导出图形及流量报表 [未完成]

weixin_34358092的博客

01-09

969

Cacti每日流量及图形导出以前做过一个VBS脚本，大概300多行，使用的是浏览器模拟打开Cacti网站用VBS模拟鼠标键盘操作进行自动导出及保存的。但是效率非常低，而且会因为浏览器升级及其他原因导致自动导出失败。最近重新整理了一个思路，使用VBS 的download函数进行下载。参考了煮酒品茶的文章Cacti 自动报表实现使用VBS定义download函数，然后下载需要...

Cacti 前台命令注入漏洞

SwBack的博客

05-08

1702

Cacti是一个服务器监控与管理平台。基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具. 在其1.2.17-1.2.22版本中存在一处命令注入漏洞，攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。

cacti 图形只能显示一天的-原来是这样啊--Cacti时间过滤器出现BUG

国丰帮您解决各种网络问题-做网络我们是认真的！！！

02-20

1873

2020年9月13日晚，Cacti时间过滤器出现BUG，致全球Cacti用户受影响，具体故障现象为选择时间过滤后没效果，最近时间也无效，点击没反应，经过Github官方反馈得知，由于时间戳设置的问题，导致图形过滤器出现故障。存在BUG的版本： =0.8.7<1.2.10 0.8.7至1.2.10所有版本，均会出现此故障不受影响的版本： =1.2.10后所有版本，<0.8.7前所有版本问题分析 Cacti从0.8.7版本开始，也就是说在2007年（13年前）设置了时间戳的值为1

Cacti运维(无法筛选时间BUG)

Mr_XiangShuai的博客

09-23

1270

Cacti运维1、日志文件2、无法筛选时间bug 1、日志文件保存在/var/www/html/cacti/log/cacti.log 清楚日志文件：cat /dev/null >cacti.log 2、无法筛选时间bug cd /var/www/html/cacti 修改配置前先保存 cp graph_xport.php graph_xport.php.bk cp graph_image.php graph_image.php.bk 修改两个php配置文件的时间戳 vim graph_xpor

Linux 监控工具之Cacti使用详解（一）

weixin_34162228的博客

10-12

663

大纲一、前言二、Cacti 概述三、Cacti 工作流程四、Cacti 安装五、配置Cacti监控本机注，操作系统 CentOS 6.4 x86_84，软件版本 Cacti-0.8.8b 目前最新版。 (说明：本博文的一些图片自于开源社区与官方网站并不是所有内容全是原创)一、前言在前面的几篇博客中我们讲解了，监控的概述、SNMP原理与实战、RRDTool绘图工具使用，这几...

cacti后台SQL注入漏洞 --解决

weixin_33755649的博客

03-11

1142

cacti后台SQL注入漏洞简介 cacti后台SQL注入漏洞 cacti /graphs_new.php中对$_POST["cg_g"]参数过滤不严，导致SQL注入的发生，可能导致敏感数据泄漏。解决方法在第4步 1. 漏洞描述 other SQL injection vulnerability via graphs_new.php in cact...

php获取php错误,关于php的异常处理以及错误处理

weixin_35675101的博客

04-15

252

php异常的定义：程序在运行中出现不符合正确的业务流程的情况，允许发生(你也不想让他出现不正常的情况)但他是一种不正常的情况，按照我们的正常逻辑本不该出的错误，但仍然会出现的错误，属于逻辑和业务流程的错误，而不是编译或者语法上的错误。php异常用于在指定的错误发生时改变脚本的运行流程php提供了个内置的异常类()进行php的异常处理...

Cacti工具包：实用插件集cacti_tools.tar.gz

标题和描述中明确指出的知识点是关于一个名为“Cacti 工具包”的压缩文件，文件名为“cacti_tools.tar.gz”。而通过标签“cacti 插件”我们得知这个工具包与Cacti网络监控工具相关，很可能是用作增强Cacti功能的插件...