关键信息摘要 漏洞类型: - 命令执行 - SQL 注入 影响的包: - (所有架构) 影响版本: - 小于 不受影响版本: - 大于等于 漏洞严重性: - 高 漏洞可利用性: - 远程 漏洞描述: - Cacti 的 和 脚本未能正确控制对命令 shell 的访问,并可被未认证的远程用户访问。这允许通过 和 URL 进行 SQL 注入。此外,从注入的 SQL 查询获得的结果在传递给命令 shell 之前没有正确清理。 - 攻击条件之一是需要启用 PHP 的 选项,这在 Gentoo 中是默认状态。 影响: - 可能导致任意 shell 命令的执行或通过精心构造的 SQL 查询获取信息。 修复措施: - 升级到最新版本的 Cacti。 - 使用如下命令升级: 临时解决方案: - 目前没有已知的临时解决方案。 相关问题追踪: - Bugzilla #159278 CVE编号: - CVE-2006-6799 这个漏洞公告还提供了发布和最近更新日期以及相关 Bugzilla 问题追踪编号等背景信息。