CVE-2023-39510
Stored Cross-site Scripting in reports_admin.php through Device-Name in 'select' input in Cacti
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
1Exploited in Wild
-Decision
Descriptions
Cacti is an open source operational monitoring and fault management framework. Affected versions are subject to a Stored Cross-Site-Scripting (XSS) Vulnerability allows an authenticated user to poison data stored in the _cacti_'s database. These data will be viewed by administrative _cacti_ accounts and execute JavaScript code in the victim's browser at view-time. The`reports_admin.php` script displays reporting information about graphs, devices, data sources etc.
CENSUS found that an adversary that is able to configure a malicious Device name, can deploy a stored XSS attack against any user of the same (or broader) privileges. A user that possesses the _General Administration>Sites/Devices/Data_ permissions can configure the device names in _cacti_. This configuration occurs through `http://<HOST>/cacti/host.php`, while the rendered malicious payload is exhibited at `http://<HOST>/cacti/reports_admin.php` when the a graph with the maliciously altered device name is linked to the report. This vulnerability has been addressed in version 1.2.25. Users are advised to upgrade. Users unable to update should manually filter HTML output.
Cacti es un framework de monitorización operativo y gestión de fallos de código abierto. Las versiones afectadas están sujetas a una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que permite a un usuario autenticado envenenar los datos almacenados en la base de datos de _cacti_. Estos datos serán vistos por las cuentas administrativas de _cacti_ y ejecutarán código JavaScript en el navegador de la víctima en tiempo de visualización. El script `reports_admin.php` muestra información de informes sobre gráficos, dispositivos, fuentes de datos, etc.CENSUS descubrió que un adversario que puede configurar un nombre de dispositivo malicioso puede implementar un ataque XSS almacenado contra cualquier usuario con los mismos (o más amplios) privilegios.Un usuario que posee los permisos _Administración general>Sitios/Dispositivos/Datos_ puede configurar los nombres de los dispositivos en _cacti_. Esta configuración se produce a través de `http:///cacti/host.php`, mientras que la carga útil maliciosa representada se exhibe en `http:///cacti/reports_admin.php` cuando se muestra un gráfico con el contenido malicioso. El nombre del dispositivo modificado está vinculado al informe. Esta vulnerabilidad se ha solucionado en la versión 1.2.25. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben filtrar manualmente la salida HTML.
CVSS Scores
SSVC
- Decision:Attend
Timeline
- 2023-08-03 CVE Reserved
- 2023-09-05 CVE Published
- 2024-09-11 EPSS Updated
- 2024-09-26 CVE Updated
- 2024-09-26 First Exploit
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
CAPEC
References (5)
| URL | Date | SRC |
|---|---|---|
| https://github.com/Cacti/cacti/security/advisories/GHSA-24w4-4hp2-3j8h | 2024-09-26 |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Cacti Search vendor "Cacti" | Cacti Search vendor "Cacti" for product "Cacti" | < 1.2.25 Search vendor "Cacti" for product "Cacti" and version " < 1.2.25" | - |
Affected
| ||||||
| Fedoraproject Search vendor "Fedoraproject" | Fedora Search vendor "Fedoraproject" for product "Fedora" | 37 Search vendor "Fedoraproject" for product "Fedora" and version "37" | - |
Affected
| ||||||
| Fedoraproject Search vendor "Fedoraproject" | Fedora Search vendor "Fedoraproject" for product "Fedora" | 38 Search vendor "Fedoraproject" for product "Fedora" and version "38" | - |
Affected
| ||||||