CVE-2026-39938
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
Cacti to otwartoźródłowe narzędzie do zarządzania wydajnością i awariami. W wersjach 1.2.30 i wcześniejszych istnieje podatność na nieuwierzytelniony lokalny włącznik plików (LFI) poprzez parametry graph_theme oraz wzmocnienie serializacji IPC rrdtool. Problem został rozwiązany w wersji 1.2.31.
Ocena ryzyka
Atakujący bez uwierzytelnienia może odczytać dowolne pliki na serwerze, co może prowadzić do wycieku poufnych danych, takich jak konfiguracje, hasła czy klucze prywatne.
Rekomendacja
Należy niezwłocznie zaktualizować Cacti do wersji 1.2.31 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsu Cacti tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Cacti is an open source performance and fault management framework. Versions 1.2.30 and prior have unauthenticated LFI through graph_theme and rrdtool IPC serialization hardening. This issue has been resolved in version 1.2.31.

