Cacti — это платформа с открытым исходным кодом, которая предоставляет надежную и расширяемую структуру оперативного мониторинга и управления неисправностями для пользователей. В затронутых версиях уязвимость внедрения команд позволяет не прошедшему проверку подлинности пользователю выполнять произвольный код на сервере, на котором работает Cacti, если для любого отслеживаемого устройства был выбран определенный источник данных. Уязвимость находится в файле `remote_agent.php`. Доступ к этому файлу можно получить без аутентификации. Эта функция извлекает IP-адрес клиента через `get_client_addr` и разрешает этот IP-адрес в соответствующее имя хоста через `gethostbyaddr`. После этого проверяется наличие записи в таблице `poller`, где имя хоста соответствует разрешенному имени хоста. Если такая запись найдена, функция возвращает `true`, и клиент авторизован. Эту авторизацию можно обойти из-за реализации функции `get_client_addr`. Функция определена в файле `lib/functions.php` и проверяет несколько переменных `$_SERVER`, чтобы определить IP-адрес клиента. Переменные, начинающиеся с `HTTP_`, могут быть произвольно установлены злоумышленником. Поскольку в таблице `poller` есть запись по умолчанию с именем хоста сервера, на котором работает Cacti, злоумышленник может обойти аутентификацию, например, предоставив заголовок `Forwarded-For: <TARGETIP>`. Таким образом, функция `get_client_addr` возвращает IP-адрес сервера, на котором работает Cacti. Следующий вызов `gethostbyaddr` разрешит этот IP-адрес в имя хоста сервера, который пройдет проверку имени хоста `poller` из-за записи по умолчанию. После обхода авторизации файла `remote_agent.php` злоумышленник может запускать различные действия. Одно из этих действий называется `polldata`. Вызываемая функция `poll_for_data` извлекает несколько параметров запроса и загружает соответствующие записи `poller_item` из базы данных. Если `action` элемента `poller_item` равен `POLLER_ACTION_SCRIPT_PHP`, функция `proc_open` используется для выполнения PHP-скрипта. Управляемый злоумышленником параметр `$poller_id` извлекается с помощью функции `get_nfilter_request_var`, которая допускает произвольные строки. Эта переменная позже вставляется в строку, передаваемую в `proc_open`, что приводит к уязвимости внедрения команд. Например, предоставив `poller_id=;id`, выполняется команда `id`. Чтобы достичь уязвимого вызова, злоумышленник должен предоставить `host_id` и `local_data_id`, где `action` соответствующего `poller_item` установлено в `POLLER_ACTION_SCRIPT_PHP`. Оба этих идентификатора (`host_id` и `local_data_id`) можно легко перебрать. Единственное требование состоит в том, чтобы существовал `poller_item` с действием `POLLER_ACTION_SCRIPT_PHP`. Это очень вероятно на производственном экземпляре, потому что это действие добавляется некоторыми предопределенными шаблонами, такими как `Device - Uptime` или `Device - Polling Time`. Эта уязвимость внедрения команд позволяет не прошедшему проверку подлинности пользователю выполнять произвольные команды, если настроен `poller_item` с типом `action` `POLLER_ACTION_SCRIPT_PHP` (`2`). Обход авторизации следует предотвратить, не позволяя злоумышленнику заставлять `get_client_addr` (файл `lib/functions.php`) возвращать произвольный IP-адрес. Это можно сделать, не учитывая переменные `$_SERVER` `HTTP_...`. Если их следует сохранить по соображениям совместимости, следует, по крайней мере, предотвратить подделку IP-адреса сервера, на котором работает Cacti. Эта уязвимость была устранена как в ветках выпуска 1.2.x, так и в 1.3.x, причем `1.2.23` является первым выпуском, содержащим исправление.