CVE-2026-39955
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Cacti w wersjach 1.2.30 i wcześniejszych zawiera podatność na wstrzykiwanie SQL przed uwierzytelnieniem, wykorzystującą niesprawdzony filtr FILTER_VALIDATE_REGEXP w pliku graph_view.php. Problem został naprawiony w wersji 1.2.31.
Ocena ryzyka
Atakujący bez uwierzytelnienia może wykonać dowolne zapytania SQL, co może prowadzić do wycieku danych, ich modyfikacji lub przejęcia kontroli nad systemem.
Rekomendacja
Należy niezwłocznie zaktualizować Cacti do wersji 1.2.31 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do pliku graph_view.php.
Oryginalny opis (angielski, źródło NVD)
Cacti is an open source performance and fault management framework. Versions 1.2.30 and prior have pre-authentication SQL Injection via unanchored FILTER_VALIDATE_REGEXP in graph_view.php. This issue has been fixed in version 1.2.31.

