Hack Alerta

Cacti: CVE-2025-66399 permite command injection por strings SNMP

Por Redação Hack Alerta Publicado em 05/12/2025 07:04 Riscos e Ameaças Tempo de leitura: 2 min

CVE-2025-66399 em Cacti (até 1.2.28) permite command injection via campo snmp_community; Cacti 1.2.29 corrige o problema. A exploração exige autenticação e pode resultar em execução de comandos com privilégios do processo de monitoramento.

Uma falha crítica de command injection em Cacti (monitoramento de rede em PHP) — rastreada como CVE-2025-66399 — permite que usuários autenticados injetem comandos arbitrários via campo de comunidade SNMP, potencialmente comprometendo servidores de monitoramento e a infraestrutura que eles gerenciam.

Descoberta e escopo

O problema afeta todas as versões até 1.2.28; a correção foi disponibilizada em Cacti 1.2.29, conforme o advisory público. A falha reside na interface de gestão de dispositivos (host.php), onde o campo snmp_community não remove caracteres de controle como newlines.

Abordagem técnica

A função get_nfilter_request_var() lê a entrada sem limpar newlines ou metacaracteres de shell; posteriormente, a rotina form_input_validate() é chamada com um regex vazio que desativa filtragem. O resultado é armazenamento literal de conteúdo contendo newlines no banco de dados.

Quando operações SNMP backend são executadas, ferramentas downstream podem interpretar tokens separados por newline como fronteiras de comando, abrindo caminho para execução de comandos com os privilégios do processo Cacti.

Impacto e requisitos de exploração

  • CVE: CVE-2025-66399
  • Produtos afetados: Cacti (até 1.2.28)
  • Severidade: classificada como High; a exploração requer acesso autenticado ao painel de gerenciamento.
  • Vetores de impacto: execução de comandos, escrita de arquivos, estabelecimento de reverse shell com privilégios do processo Cacti.

Mitigação e resposta

  • Atualizar imediatamente para Cacti 1.2.29, que aplica validação adequada ao campo snmp_community.
  • Enquanto a atualização não for possível, restringir acesso à interface de configuração de dispositivos apenas a redes/hosts confiáveis e auditar entradas SNMP em busca de caracteres incomuns ou comandos embutidos.
  • Monitorar processos e conexões de saída do servidor Cacti em busca de comportamentos anômalos.

Por que é crítico

Ferramentas de monitoramento frequentemente têm integração com dispositivos de infraestrutura e privilégios que podem facilitar escalonamento lateral; um Cacti comprometido pode se tornar vetor para comprometer equipamentos gerenciados ou exfiltrar dados sensíveis.

Limitações

O advisory inclui PoC público segundo a matéria; ainda assim, a exploração exige credenciais válidas no aplicativo. Fontes não informam número de instalações exploradas em campo até o momento da publicação.

Baseado em publicação original de Cyber Security News
Tags: #cacti #cve-2025-66399 #snmp #command-injection #monitoring #patch #seguranca #poC #admin
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar