Cacti provides an operational monitoring and fault management framework. Version 1.2.25 has a Blind SQL Injection (SQLi) vulnerability within the SNMP Notification Receivers feature in the file `‘managers.php’`. An authenticated attacker with the “Settings/Utilities” permission can send a crafted HTTP GET request to the endpoint `‘/cacti/managers.php’` with an SQLi payload in the `‘selected_graphs_array’` HTTP GET parameter. As of time of publication, no patched versions exist.
Cacti proporciona un framework de monitoreo operativo y gestión de fallos. La versión 1.2.25 tiene una vulnerabilidad de inyección Blind SQL (SQLi) dentro de la función de receptores de notificaciones SNMP en el archivo ``managers.php''. Un atacante autenticado con el permiso "Configuración/Utilidades" puede enviar una solicitud HTTP GET manipulada al endpoint `'/cacti/managers.php'` con un payload SQLi en el parámetro HTTP GET `'selected_graphs_array'`. Al momento de la publicación, no existen versiones parcheadas.