Kacti açık kaynaklı ağ izleme ve hata yönetimi çerçevesinde, kimlik doğrulamalı bir saldırganın duyarlı örneklerde uzaktan kod yürütülmesine izin verebilecek kritik bir güvenlik kusuru açıklanmıştır.
CVE-2025-22604 olarak izlenen kusur, maksimum 10.0 üzerinden 9.1’lik bir CVSS skoru taşır.
Proje koruyucuları, “Çok satırlı SNMP sonuç ayrıştırıcısındaki bir kusur nedeniyle, kimlik doğrulamalı kullanıcılar yanıtta kötü biçimlendirilmiş OID’ler enjekte edebilirler.” söz konusu Bu hafta yayınlanan bir danışmanlıkta.
“SS_NET_SNMP_DISK_IO () veya SS_NET_SNMP_DISK_BYTES () tarafından işlendiğinde, her bir OID’nin bir kısmı, bir sistem komutunun bir parçası olarak kullanılan ve komut yürütme güvenlik açığına neden olan bir dizide anahtar olarak kullanılacaktır.”
Güvenlik açığının başarılı bir şekilde kullanılması, cihaz yönetimi izinleri ile kimlik doğrulamalı bir kullanıcının sunucuda keyfi kod yürütmesine ve hassas verileri çalmasına, düzenlemesine veya silmesine izin verebilir.
CVE-2025-22604, 1.2.28’den önce ve dahil olmak üzere yazılımın tüm sürümlerini etkiler. 1.2.29 sürümünde ele alınmıştır. Çevrimiçi takma adı U32i’ye giren bir güvenlik araştırmacısı, kusuru keşfetmek ve raporlamakla kredilendirilmiştir.
Ayrıca en son sürümde ele alındı CVE-2025-24367 (CVSS puanı: 7.2), kimlik doğrulamalı bir saldırganın grafik oluşturma ve grafik şablonu işlevselliğini kötüye kullanarak uygulamanın web kökünde keyfi PHP komut dosyaları oluşturmasına izin vererek uzaktan kod yürütmesine yol açarak.
Geçmişte aktif sömürü altına giren kakti güvenlik açıkları ile, ağ izleme için yazılımlara güvenen kuruluşlar, uzlaşma riskini azaltmak için gerekli yamaların uygulanmasına öncelik vermelidir.
