关键信息 变更概览 9个文件被修改,共新增125行代码,删除46行代码。 版本修复:针对Cacti 1.2.29版本的安全性更新,解决了一系列安全漏洞。 主要安全问题 1. GISA-pv2c-g7pp-vxwg:通过 导致的本地文件包含(LFI)漏洞。 2. GISA-f9c7-7rc3-574c:在使用树规则和自动化API时的SQL注入漏洞。 3. GISA-vj3F2-w4wj:在查看主机模板时的SQL注入漏洞。 4. GISA-fh3x-9rr-gqgg:在请求自动化设备时的SQL注入漏洞。 5. GISA-fxrq-fr7h-9rqg:通过多行SNMP响应导致的远程代码执行(RCE)漏洞。 具体代码变更 automation_graph_rules.php: - 对于 和 数据库字段的值进行SQL注入检测,防止非法操作。 automation_tree_rules.php: - 与上述文件类似,增加对SQL注入的检测,确保数据安全。 lib/functions.php: - 修改了 函数,以正确处理字符串中的特殊字符,防止命令注入。 lib/html_validate.php和lib/snmp.php: - 主要代码变更集中在对输入数据的验证和安全检查上,防止SQL注入和其他潜在的漏洞。 变更 commend 该commit主要目的是修复Cacti版本1.2.29中出现的多个因 和 导致的安全问题,针对不同文件和功能模块分别报告了相应的漏洞ID,并通过修改代码逻辑,加强了对输入数据的验证和处理,确保系统的安全性和稳定性。