CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-1000031
https://notcve.org/view.php?id=CVE-2017-1000031
SQL injection vulnerability in graph_templates_inputs.php in Cacti 0.8.8b allows remote attackers to execute arbitrary SQL commands via the graph_template_input_id and graph_template_id parameters. Una vulnerabilidad de inyección SQL en el archivo graph_templates_inputs.php en Cacti versión 0.8.8b, permite a atacantes remotos ejecutar comandos SQL arbitrarios por medio de los parámetros graph_template_input_id y graph_template_id. • https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2016-007/?fid=7789 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000032
https://notcve.org/view.php?id=CVE-2017-1000032
Cross-Site scripting (XSS) vulnerabilities in Cacti 0.8.8b allow remote attackers to inject arbitrary web script or HTML via the parent_id parameter to tree.php and drp_action parameter to data_sources.php. Una vulnerabilidad de tipo Cross-Site scripting (XSS) en cactus versión 0.8.8b, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro parent_id en archivo tree.php y parámetro drp_action en archivo data_sources.php. • https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2016-007 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11163
https://notcve.org/view.php?id=CVE-2017-11163
Cross-site scripting (XSS) vulnerability in aggregate_graphs.php in Cacti 1.1.12 allows remote authenticated users to inject arbitrary web script or HTML via specially crafted HTTP Referer headers, related to the $cancel_url variable. Una vulnerabilidad de Cross-Site Scripting (XSS) en aggregate_graphs.php en Cacti versión 1.1.12, permite a los usuarios autenticados a distancia inyectar secuencias de comandos web arbitrarias o HTML mediante cabeceras de referencia HTTP especialmente diseñadas, relacionadas con la variable $cancel_url. • http://www.securitytracker.com/id/1038908 https://github.com/Cacti/cacti/issues/847 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2017-10970
https://notcve.org/view.php?id=CVE-2017-10970
Cross-site scripting (XSS) vulnerability in link.php in Cacti 1.1.12 allows remote anonymous users to inject arbitrary web script or HTML via the id parameter, related to the die_html_input_error function in lib/html_validate.php. Una vulnerabilidad de Cross-Site Scripting (XSS) en link.php en Cacti 1.1.12 permite que usuarios remotos anónimos inyecten scripts web o HTML arbitrarios mediante el parámetro id, relacionado con la función die_html_input_error en lib/html_validate.php. • http://www.securitytracker.com/id/1038908 https://github.com/Cacti/cacti/issues/838 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2016-2313
https://notcve.org/view.php?id=CVE-2016-2313
auth_login.php in Cacti before 0.8.8g allows remote authenticated users who use web authentication to bypass intended access restrictions by logging in as a user not in the cacti database. auth_logen.php en Cacti en versiones anteriores a 0.8.8g permite a usuarios remotos autenticados que utilizan autenticación web eludir las restricciones destinadas al acceso iniciando sesión como un usuario que no está en la base de datos cacti. • http://bugs.cacti.net/view.php?id=2656 http://lists.opensuse.org/opensuse-updates/2016-02/msg00077.html http://lists.opensuse.org/opensuse-updates/2016-02/msg00078.html http://lists.opensuse.org/opensuse-updates/2016-02/msg00080.html http://www.cacti.net/release_notes_0_8_8g.php http://www.securitytracker.com/id/1037745 https://security.gentoo.org/glsa/201607-05 https://security.gentoo.org/glsa/201711-10 • CWE-264: Permissions, Privileges, and Access Controls •