📄 Description (English)
Cacti Command Injection Vulnerability — Cacti contains a command injection vulnerability that allows an unauthenticated user to execute code.
🤖 AI Executive Summary
Cacti versions prior to 1.2.23 contain a critical unauthenticated command injection vulnerability (CVSS 9.0) allowing remote code execution. This vulnerability poses an immediate threat to Saudi organizations using Cacti for network monitoring and infrastructure management. Exploitation requires no authentication and can lead to complete system compromise.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 21, 2026 14:16
🇸🇦 Saudi Arabia Impact Assessment
Critical impact on Saudi government agencies (NCA, NCSC), ARAMCO energy infrastructure, SAMA-regulated financial institutions, and STC/Mobily telecom networks that rely on Cacti for network monitoring. Healthcare sector (MOH) systems using Cacti for infrastructure monitoring are also at significant risk. Unauthenticated remote code execution could enable lateral movement into critical infrastructure networks.
🏢 Affected Saudi Sectors
Government (NCA, NCSC)
Energy (ARAMCO)
Banking/Finance (SAMA-regulated)
Telecommunications (STC, Mobily)
Healthcare (MOH)
Critical Infrastructure
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
9.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Cacti instances in your environment using network scanning tools
2. Isolate affected Cacti servers from production networks if running versions < 1.2.23
3. Implement network-level access controls restricting Cacti web interface to authorized IPs only
PATCHING:
1. Upgrade Cacti to version 1.2.23 or later immediately
2. Apply security patches from official Cacti repository (https://www.cacti.net/)
3. Verify patch installation by checking version in Cacti UI (Settings > General)
COMPENSATING CONTROLS (if patching delayed):
1. Deploy WAF rules blocking malicious payloads targeting Cacti endpoints
2. Implement strict input validation on all Cacti-facing network interfaces
3. Enable comprehensive logging and monitoring of Cacti processes
4. Restrict Cacti service to run with minimal privileges (non-root user)
DETECTION RULES:
1. Monitor for HTTP requests containing shell metacharacters (;|&$`\n) to Cacti endpoints
2. Alert on unexpected child processes spawned by Cacti PHP processes
3. Monitor /var/log/cacti/ for unusual command execution patterns
4. Track failed authentication attempts followed by command injection attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع نسخ Cacti في بيئتك باستخدام أدوات المسح الشبكي
2. عزل خوادم Cacti المتأثرة عن شبكات الإنتاج إذا كانت تعمل بإصدارات أقدم من 1.2.23
3. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد واجهة ويب Cacti للعناوين المصرح بها فقط
التصحيح:
1. ترقية Cacti إلى الإصدار 1.2.23 أو أحدث فوراً
2. تطبيق تصحيحات الأمان من مستودع Cacti الرسمي
3. التحقق من تثبيت التصحيح بفحص الإصدار في واجهة Cacti
عناصر التحكم البديلة:
1. نشر قواعد WAF لحجب الحمولات الضارة الموجهة لنقاط نهاية Cacti
2. تطبيق التحقق الصارم من المدخلات على جميع واجهات الشبكة المواجهة لـ Cacti
3. تفعيل السجلات الشاملة ومراقبة عمليات Cacti
4. تقييد خدمة Cacti للعمل بامتيازات دنيا (مستخدم غير جذر)
قواعد الكشف:
1. مراقبة طلبات HTTP التي تحتوي على أحرف shell (;|&$`\n) لنقاط نهاية Cacti
2. التنبيه على العمليات الفرعية غير المتوقعة التي تم إنشاؤها بواسطة عمليات Cacti PHP
3. مراقبة /var/log/cacti/ للأنماط غير العادية لتنفيذ الأوامر
4. تتبع محاولات المصادقة الفاشلة متبوعة بمحاولات حقن الأوامر
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.12.2.1 - Monitoring and logging of access
🔵 SAMA CSF
ID.RA-1 - Asset management and vulnerability identification
PR.IP-12 - Security patch management
DE.CM-1 - Detection and analysis of anomalies
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities
A.14.2.1 - Secure development and change management
A.12.4.1 - Event logging
A.12.2.1 - User access logging
🟣 PCI DSS v4.0
Requirement 6.2 - Security patches and updates
Requirement 11.2 - Vulnerability scanning
🔗 References & Sources 0
No references.
📦 Affected Products / CPE 1 entries
Cacti:Cacti