开源工具Cacti修复严重IP欺骗漏洞

近日，Cacti修复了一个允许攻击者在服务器上运行任意PHP命令的漏洞。Cacti是一种流行的开源网络绘图、监控和故障管理工具。

据了解，该漏洞存在于Cacti中的一个PHP文件中，该文件允许远程代理在服务器上运行不同的操作。该文件提供的唯一保护措施是检查请求是否来自授权的IP地址，但IP地址可能会被正确配置的HTTP标头所欺骗，让攻击者无需通过Cacti应用程序的身份验证即可访问文件的命令。[阅读原文]