
Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en productos Cacti, entre ellas, tres de severidad crítica. Un actor malicioso podría aprovechar estos fallos para omitir controles de autenticación, alterar datos o ejecutar código arbitrario en sistemas afectados.
Productos afectados
- Cacti (Todas las versiones anteriores a la 1.2.31)
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-39938: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inclusión de archivos locales e inyección de comandos del sistema operativo en el procesamiento de imágenes de grafos de Cacti. Esta se debe a fallos de endurecimiento y falta de sanitización en la serialización de la comunicación entre procesos al interactuar con los componentes graph_theme y rrdtool. Un actor malicioso remoto no autenticado podría enviar solicitudes manipuladas para evadir las restricciones de ruta, logrando la ejecución remota de código en el servidor.
CVE-2026-39955: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL previa a la autenticación en el archivo graph_view.php de Cacti. Esta se debe al uso de una expresión regular no anclada dentro de la función de filtrado FILTER_VALIDATE_REGEXP, lo que permite evadir la validación del parámetro de entrada. Un actor malicioso remoto no autenticado podría aprovechar esta deficiencia enviando solicitudes manipuladas para inyectar comandos SQL, logrando la lectura, modificación o extracción de información confidencial, así como el compromiso total del servidor.
CVE-2026-39893: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL previa a la autenticación en el archivo graph_view.php de Cacti. Esta se debe a que la variable de solicitud rfilter se concatenaba directamente en una cláusula SQL RLIKE sin ningún tipo de sanitización previa. Dado que el punto final de visualización de gráficos admite el acceso de invitados de forma predeterminada, un actor malicioso remoto podría aprovechar esta deficiencia en instalaciones con la vista de invitados habilitada enviando solicitudes manipuladas para ejecutar comandos SQL, lo que permitiría comprometer la base de datos y extraer información confidencial del servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias