یک نقص امنیتی مهم با شناسه CVE-2025-22604 و امتیاز CVSS 9.1، در چارچوب نظارت و مدیریت خطا شبکه منبعباز Cacti فاش شده است که میتواند به مهاجم احراز هویت شده اجازه دهد تا در موارد حساس به اجرای کد از راه دور دست یابد.
این آسیبپذیری به دلیل نقص در تجزیهکننده نتایج چند خطی SNMP، کاربران احراز هویت شده را به تزریق OIDهای نادرست در پاسخ قادر میسازد. هنگامی که توسط ()ss_net_snmp_disk_io یا ()ss_net_snmp_disk_bytes پردازش میشود، بخشی از هر OID به عنوان کلید در آرایهای استفاده میشود که به عنوان بخشی از فرمان سیستم استفاده میشود و باعث آسیبپذیری اجرای دستور میشود. اکسپلویت موفقیتآمیز از این آسیبپذیری میتواند امکان اجرای کد دلخواه در سرور، سرقت / ویرایش یا حذف دادههای حساس را برای کاربر احراز هویت با مجوزهای مدیریت دستگاه فراهم کند.
https://thehackernews.com/2025/01/critical-cacti-security-flaw-cve-2025.html
