安全研究

安全漏洞
Cacti命令注入漏洞(CVE-2025-66399)

发布日期:2025-12-02
更新日期:2026-06-23

受影响系统:
Cacti Cacti < 1.2.29
描述:
CVE(CAN) ID: CVE-2025-66399

Cacti是Cacti团队的一套开源的网络流量监测和分析工具,该工具通过snmpget来获取数据,使用RRDtool绘画图形进行分析,提供数据和用户管理功能。
Cacti 1.2.29之前版本存在命令注入漏洞,该漏洞源于SNMP设备配置功能中的输入验证错误,经过身份认证的攻击者可利用该漏洞提供包含控制字符的特制SNMP社区字符串,将其嵌入后端SNMP操作,从而以进程权限执行命令。

<**>

建议:
厂商补丁:

Cacti
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/Cacti/cacti/security/advisories/GHSA-c7rr-2h93-7gjf

浏览次数:126
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障