CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11163
https://notcve.org/view.php?id=CVE-2017-11163
Cross-site scripting (XSS) vulnerability in aggregate_graphs.php in Cacti 1.1.12 allows remote authenticated users to inject arbitrary web script or HTML via specially crafted HTTP Referer headers, related to the $cancel_url variable. Una vulnerabilidad de Cross-Site Scripting (XSS) en aggregate_graphs.php en Cacti versión 1.1.12, permite a los usuarios autenticados a distancia inyectar secuencias de comandos web arbitrarias o HTML mediante cabeceras de referencia HTTP especialmente diseñadas, relacionadas con la variable $cancel_url. • http://www.securitytracker.com/id/1038908 https://github.com/Cacti/cacti/issues/847 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2017-10970
https://notcve.org/view.php?id=CVE-2017-10970
Cross-site scripting (XSS) vulnerability in link.php in Cacti 1.1.12 allows remote anonymous users to inject arbitrary web script or HTML via the id parameter, related to the die_html_input_error function in lib/html_validate.php. Una vulnerabilidad de Cross-Site Scripting (XSS) en link.php en Cacti 1.1.12 permite que usuarios remotos anónimos inyecten scripts web o HTML arbitrarios mediante el parámetro id, relacionado con la función die_html_input_error en lib/html_validate.php. • http://www.securitytracker.com/id/1038908 https://github.com/Cacti/cacti/issues/838 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2016-2313
https://notcve.org/view.php?id=CVE-2016-2313
auth_login.php in Cacti before 0.8.8g allows remote authenticated users who use web authentication to bypass intended access restrictions by logging in as a user not in the cacti database. auth_logen.php en Cacti en versiones anteriores a 0.8.8g permite a usuarios remotos autenticados que utilizan autenticación web eludir las restricciones destinadas al acceso iniciando sesión como un usuario que no está en la base de datos cacti. • http://bugs.cacti.net/view.php?id=2656 http://lists.opensuse.org/opensuse-updates/2016-02/msg00077.html http://lists.opensuse.org/opensuse-updates/2016-02/msg00078.html http://lists.opensuse.org/opensuse-updates/2016-02/msg00080.html http://www.cacti.net/release_notes_0_8_8g.php http://www.securitytracker.com/id/1037745 https://security.gentoo.org/glsa/201607-05 https://security.gentoo.org/glsa/201711-10 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2016-3172
https://notcve.org/view.php?id=CVE-2016-3172
SQL injection vulnerability in tree.php in Cacti 0.8.8g and earlier allows remote authenticated users to execute arbitrary SQL commands via the parent_id parameter in an item_edit action. Vulnerabilidad de inyección SQL en tree.php en Cacti 0.8.8g y versiones anteriores permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través del parámetro parent_id en una acción item_edit action. • http://bugs.cacti.net/view.php?id=2667 http://lists.opensuse.org/opensuse-updates/2016-05/msg00074.html http://www.openwall.com/lists/oss-security/2016/03/10/13 http://www.openwall.com/lists/oss-security/2016/03/15/11 http://www.securityfocus.com/bid/84324 https://security.gentoo.org/glsa/201607-05 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 3CVE-2016-3659 – Cacti 0.8.8g SQL Injection
https://notcve.org/view.php?id=CVE-2016-3659
SQL injection vulnerability in graph_view.php in Cacti 0.8.8.g allows remote authenticated users to execute arbitrary SQL commands via the host_group_data parameter. Vulnerabilidad de inyección SQL en graph_view.php en Cacti 0.8.8.g permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través del parámetro host_group_data. • http://bugs.cacti.net/view.php?id=2673 http://lists.opensuse.org/opensuse-updates/2016-05/msg00074.html http://packetstormsecurity.com/files/136547/Cacti-0.8.8g-SQL-Injection.html http://seclists.org/fulldisclosure/2016/Apr/4 http://www.securityfocus.com/bid/85806 https://security.gentoo.org/glsa/201607-05 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •