CVE-2026-40941
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W Cacti w wersjach 1.2.30 i wcześniejszych wykryto obejście walidacji podpisu podczas importu pakietów, co umożliwia instalowanie pakietów podpisanych własnoręcznie. Luka została naprawiona w wersji 1.2.31.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwe pakiety, co prowadzi do naruszenia integralności systemu i potencjalnego przejęcia kontroli nad monitorowaną infrastrukturą.
Rekomendacja
Należy niezwłocznie zaktualizować Cacti do wersji 1.2.31 lub nowszej, która zawiera poprawkę usuwającą podatność.
Oryginalny opis (angielski, źródło NVD)
Cacti is an open source performance and fault management framework. Versions 1.2.30 and prior have a package import signature validation bypass allows which allows self-signed packages. This issue has been fixed in version 1.2.31.

