Kacti açık kaynaklı ağ izleme ve hata yönetimi çerçevesinde, kimlik doğrulamalı bir saldırganın duyarlı örneklerde uzaktan kod yürütülmesine izin verebilecek kritik bir güvenlik kusuru açıklanmıştır.
CVE-2025-22604 olarak izlenen kusur, maksimum 10.0 üzerinden 9.1’lik bir CVSS skoru taşır.
Proje koruyucuları bu hafta yayınlanan bir danışmanda, “Çok satırlı SNMP sonuç ayrıştırıcısındaki bir kusur nedeniyle, kimlik doğrulamalı kullanıcılar yanıtta kötü biçimlendirilmiş OID’ler enjekte edebilirler.” Dedi.
“SS_NET_SNMP_DISK_IO () veya SS_NET_SNMP_DISK_BYTES () tarafından işlendiğinde, her bir OID’nin bir kısmı, bir sistem komutunun bir parçası olarak kullanılan ve komut yürütme güvenlik açığına neden olan bir dizide anahtar olarak kullanılacaktır.”
Güvenlik açığının başarılı bir şekilde kullanılması, cihaz yönetimi izinleri ile kimlik doğrulanmış bir kullanıcının sunucuda keyfi kod yürütmesine ve hassas verileri çalmasına, düzenlemesine veya silmesine izin verebilir.
CVE-2025-22604, 1.2.28’den önce ve dahil olmak üzere yazılımın tüm sürümlerini etkiler. 1.2.29 sürümünde ele alınmıştır. Çevrimiçi takma adı U32i’ye giren bir güvenlik araştırmacısı, kusuru keşfetmek ve raporlamakla kredilendirilmiştir.
En son sürümde ayrıca, kimlik doğrulamalı bir saldırganın grafik oluşturma ve grafik şablonu işlevselliğini kötüye kullanarak uygulamanın web kökünde keyfi PHP komut dosyaları oluşturmasına izin verebilecek olan CVE-2025-24367 (CVSS Puanı: 7.2) de ele alındı. Kod yürütme.
Geçmişte aktif sömürü altına giren kakti güvenlik açıkları ile, ağ izleme için yazılımlara güvenen kuruluşlar, uzlaşma riskini azaltmak için gerekli yamaların uygulanmasına öncelik vermelidir.