5月12日开源网路效能及配置管理框架Cacti发布1.2.27版，当中总共修补9个漏洞，其中最值得留意的是被列为重大等级的CVE-2024-29895、CVE-2024-25641。

其中，CVE-2024-29895为命令注入漏洞，攻击者可在Cacti伺服器的PHP元件启用register_argc_argv功能的情况下，对伺服器下达任意命令，过程中无须通过身分验证，CVSS风险评为10分。

另一个重大层级的漏洞CVE-2024-25641，此为任意档案写入漏洞，存在于套件汇入功能，一旦攻击者通过身分验证，且取得汇入范本的权限，就有机会在网页伺服器执行任意PHP程式码，从而发动远端程式码执行（RCE）攻击，CVSS风险评分为9.1。

开发团队也针对这次修补的漏洞提供概念性验证（PoC），并呼吁用户尽速套用新版程式。