CVE-2005-2149 - config.php in Cacti 0.8.6e and earlier allows remote attackers to set the no_http_headers switch, th

CVE-2005-2149

Summary

config.php in Cacti 0.8.6e and earlier allows remote attackers to set the no_http_headers switch, then modify session information to gain privileges and disable the use of addslashes to conduct SQL injection attacks.

References

Vulnerable Configurations

cpe:2.3:a:the_cacti_group:cacti:0.8:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.1:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.1:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.2:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.2:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.2a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.2a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.3:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.3:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.3a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.3a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.4:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.4:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.5:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.5:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.5a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.5a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6a:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6b:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6b:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6c:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6c:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6d:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6d:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6e:*:*:*:*:*:*:*
cpe:2.3:a:the_cacti_group:cacti:0.8.6e:*:*:*:*:*:*:*

CVSS

Base:	10.0 (as of 08-03-2011 - 02:23)
Impact:
Exploitability:

CWE

NVD-CWE-Other

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	LOW	NONE

Impact

Confidentiality	Integrity	Availability
COMPLETE	COMPLETE	COMPLETE

cvss-vector via4

AV:N/AC:L/Au:N/C:C/I:C/A:C

refmap via4

bid	14130
bugtraq	20050702 Advisory 05/2005: Cacti Authentification/Addslashes Bypass Vulnerability
confirm	http://www.cacti.net/downloads/patches/0.8.6e/cacti-0.8.6f_security.patch
debian	DSA-764
misc	http://www.hardened-php.net/advisory-052005.php
mlist	[cacti-announce] 20050701 Cacti 0.8.6f Released
sectrack	1014361
vupen	ADV-2005-0951

Last major update

08-03-2011 - 02:23

Published

06-07-2005 - 04:00

Last modified

08-03-2011 - 02:23