概述
CVE-2025-66399 是Cacti开源性能与故障管理框架中的一个高风险漏洞。该漏洞源于SNMP设备配置功能中的输入验证缺陷,可能允许经过身份验证的攻击者通过注入恶意命令来实现远程代码执行。
漏洞描述
Cacti是一个开源性能与故障管理框架。在1.2.29版本之前,其SNMP设备配置功能中存在一个输入验证缺陷。经过身份验证的Cacti用户可以提交包含控制字符(包括换行符)的、经过精心构造的SNMP社区字符串。这些字符串会被系统接受,并原封不动地存储在数据库中,随后被嵌入到后端的SNMP操作中。在那些下游SNMP工具或包装器将换行符分隔的令牌解释为命令边界的环境中,这可能导致以Cacti进程权限执行非预期命令。该漏洞已在1.2.29版本中修复。
关键时间线
- 发布日期:2025年12月2日 下午6:15
- 最后修改日期:2025年12月2日 下午6:15
- 可远程利用:是
- 来源:security-advisories@github.com
受影响产品
目前尚未记录到具体的受影响产品信息。
- 受影响供应商总数:0
- 产品总数:0
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.9 | CVSS 4.0 | 高 | security-advisories@github.com |
解决方案
- 升级Cacti:将Cacti升级到1.2.29版本,以修复SNMP配置中的输入验证缺陷。
- 输入验证:验证SNMP社区字符串中是否包含控制字符。
- 数据库审查:检查数据库中是否存在恶意的SNMP字符串。
- 访问控制:限制对SNMP配置功能的访问权限。
相关参考
- 安全公告:https://github.com/Cacti/cacti/security/advisories/GHSA-c7rr-2h93-7gjf
关联的CWE(通用缺陷枚举)
- CWE-77:命令中使用的特殊元素的不当中和(“命令注入”)
关联的CAPEC(常见攻击模式枚举与分类)
该漏洞与以下攻击模式相关:
- CAPEC-15: 命令分隔符
- CAPEC-40: 操纵可写终端设备
- CAPEC-43: 利用多层输入解释
- CAPEC-75: 操纵可写配置文件
- CAPEC-76: 操纵Web输入至文件系统调用
- CAPEC-136: LDAP注入
- CAPEC-183: IMAP/SMTP命令注入
- CAPEC-248: 命令注入
漏洞历史记录
- 2025年12月2日:收到来自 security-advisories@github.com 的新CVE报告。
- 添加:漏洞描述。
- 添加:CVSS V4.0评分向量 (
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X)。 - 添加:关联CWE-77。
- 添加:参考的安全公告链接。
漏洞评分详情(CVSS 4.0)
- 基础CVSS分数:8.9
评分向量参数:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击前提要求:无
- 所需权限:无
- 用户交互:无
- 漏洞对保密性的影响:高
- 漏洞对完整性的影响:高
- 漏洞对可用性的影响:高
- 后续影响对保密性的影响:无
- 后续影响对完整性的影响:无
- 后续影响对可用性的影响:无