Cacti SQL注入漏洞分析（CVE-2023-51448）技术文档<\/h1>

漏洞概述<\/h2>

Cacti是一个开源的网络监控和图形化工具，用于监控网络设备和服务器性能。在1.2.25及更早版本中，存在一个SQL注入漏洞（CVE-2023-51448），允许授权用户通过pollers.php<\/code>脚本执行任意SQL代码。<\/p>

漏洞影响<\/strong>：<\/p>


漏洞组件：pollers.php<\/code><\/li>
影响范围：Cacti 1.2.25及更早版本<\/li>
漏洞类型：SQL注入<\/li>
影响程度：授权用户可执行任意SQL代码<\/li>
<\/ul>
环境搭建<\/h2>


数据库配置<\/strong>：<\/p>

修改include\/config.php<\/code>文件，配置正确的数据库连接信息<\/li>
使用phpMyAdmin或其他数据库管理工具创建数据库<\/li>
导入Cacti根目录下的cati.sql<\/code>文件<\/li>
<\/ul>
<\/li>

验证环境<\/strong>：<\/p>

确保能够正常访问Cacti Web界面<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞复现步骤<\/h2>

构造恶意请求，设置action<\/code>参数为save<\/code><\/li>
在dbhost<\/code>参数中注入SQL代码<\/li>
发送请求到pollers.php<\/code>脚本<\/li>
<\/ol>
漏洞详细分析<\/h2>
漏洞调用链<\/h3>
完整的漏洞调用链如下：<\/p>
action="save" → form_save() → poller_host_duplicate() → SQL注入
<\/code><\/pre>
关键代码分析<\/h3>

入口点<\/strong> - pollers.php<\/code>第427行：<\/li>
<\/ol>
\/\/ 明显的SQL拼接漏洞点
<\/span><\/span><\/span><\/span>$host =<\/span> $save['dbhost'<\/span>];
<\/span><\/span>$sql =<\/span> "SELECT id FROM host WHERE hostname = '<\/span>$host<\/span>'"<\/span>;
<\/span><\/span><\/code><\/pre>

调用路径<\/strong>：<\/p>

form_save()<\/code>方法（第321行）调用poller_host_duplicate()<\/code><\/li>
poller_host_duplicate()<\/code>方法中直接拼接SQL语句<\/li>
<\/ul>
<\/li>

参数获取<\/strong>：<\/p>
<\/li>
<\/ol>
$save['dbhost'<\/span>] =<\/span> form_input_validate<\/span>(
<\/span><\/span>    get_nfilter_request_var<\/span>('dbhost'<\/span>), 
<\/span><\/span>    'dbhost'<\/span>, 
<\/span><\/span>    ''<\/span>, 
<\/span><\/span>    true<\/span>, 
<\/span><\/span>    3<\/span>
<\/span><\/span>);
<\/span><\/span><\/code><\/pre>
关键函数<\/strong>：

get_nfilter_request_var()<\/code>：获取请求中dbhost<\/code>变量的值，未进行过滤<\/li>
form_input_validate()<\/code>：未对SQL注入进行有效防范<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用条件<\/h3>


需要两个关键参数：<\/p>

dbhost<\/code>：SQL注入点<\/li>
action<\/code>：必须设置为save<\/code><\/li>
<\/ul>
<\/li>

需要授权用户权限<\/p>
<\/li>
<\/ol>
漏洞修复建议<\/h2>

升级到最新版本的Cacti<\/li>
对用户输入进行严格的过滤和转义<\/li>
使用参数化查询或预处理语句替代直接SQL拼接<\/li>
<\/ol>
注意事项<\/h2>

CVE编号争议<\/strong>：有用户指出阿里云最初记录的CVE编号与官方不一致，但后来可能已修正<\/li>
该漏洞需要授权用户权限才能利用<\/li>
<\/ol>
总结<\/h2>
该漏洞源于Cacti在pollers.php<\/code>脚本中对用户输入处理不当，导致授权用户可通过构造恶意请求执行任意SQL代码。开发人员应特别注意用户输入的处理，避免直接拼接SQL语句。<\/p>
关键点<\/strong>：<\/p>

漏洞位于pollers.php<\/code>脚本<\/li>
通过dbhost<\/code>参数注入<\/li>
需要action=save<\/code>触发漏洞路径<\/li>
需要授权用户权限<\/li>
<\/ul>