CVE-2019-16723 - In Cacti through 1.2.6, authenticated users may bypass authorization checks (for viewing a graph) vi

CVE-2019-16723

Summary

In Cacti through 1.2.6, authenticated users may bypass authorization checks (for viewing a graph) via a direct graph_json.php request with a modified local_graph_id parameter.

References

Vulnerable Configurations

cpe:2.3:a:cacti:cacti:0.8:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.1:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.1:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.2:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.2:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.2a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.2a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.3:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.3:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.3a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.3a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.4:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.4:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.5:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.5:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.5a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.5a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6b:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6b:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6c:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6c:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6d:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6d:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6e:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6e:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6f:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6f:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6g:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6g:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6h:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6h:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6i:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6i:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6j:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6j:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6k:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.6k:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7b:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7b:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7c:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7c:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7d:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7d:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7e:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7e:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7f:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7f:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7g:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7g:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7h:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7h:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7i:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.7i:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8a:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8b:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8b:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8c:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8c:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8d:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8d:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8e:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8e:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8f:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8f:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8g:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8g:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8h:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:0.8.8h:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.11:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.11:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.12:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.12:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.13:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.13:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.14:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.14:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.15:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.15:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.16:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.16:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.17:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.17:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.18:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.18:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.25:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.25:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.26:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.26:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.27:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.27:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.28:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.28:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.37:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.1.37:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.2.3:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.2.3:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.2.6:*:*:*:*:*:*:*
cpe:2.3:a:cacti:cacti:1.2.6:*:*:*:*:*:*:*

CVSS

Base:	4.0 (as of 20-12-2019 - 03:15)
Impact:
Exploitability:

CWE

CWE-639

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	LOW	SINGLE

Impact

Confidentiality	Integrity	Availability
PARTIAL	NONE	NONE

cvss-vector via4

AV:N/AC:L/Au:S/C:P/I:N/A:N

refmap via4

bugtraq	20200120 [SECURITY] [DSA 4604-1] cacti security update
debian	DSA-4604
fedora	FEDORA-2019-362f0e9710 FEDORA-2019-6bf27b45b3
gentoo	GLSA-202003-40
misc	https://github.com/Cacti/cacti/issues/2964
suse	openSUSE-SU-2020:0272 openSUSE-SU-2020:0284 openSUSE-SU-2020:0558 openSUSE-SU-2020:0565

Last major update

20-12-2019 - 03:15

Published

23-09-2019 - 15:15

Last modified

20-12-2019 - 03:15