製品・ソフトウェアに関する情報
Vulnerability Search
The Cacti GroupのCactiにおけるセッションの固定化の脆弱性
Title The Cacti GroupのCactiにおけるセッションの固定化の脆弱性
Summary

Cactiはオープンソースのパフォーマンスおよび障害管理フレームワークです。バージョン1.2.30およびそれ以前のバージョンでは、ログイン後にsession_regenerate_id()が呼び出されておらず、セッション固定(Session Fixation)につながる問題がありました。auth_login.phpの203〜207行目のログイン処理において、セッションIDを更新せずに$_SESSION[SESS_USER_ID]が直接設定されていました。セッションクッキーの設定自体は良好で(include/global.phpの513〜537行目にてhttponly=true、samesite=Strict、HTTPS使用時にはsecure=trueとなっています)が、これらは同一サイト内での攻撃によるセッション固定を防ぐことはできません。この問題はバージョン1.2.31で修正されました。

Possible impacts ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 25, 2026, midnight
Registration Date June 30, 2026, 11:21 a.m.
Last Update June 30, 2026, 11:21 a.m.
CVSS3.0 : 警告
Score 5.4
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Affected System
The Cacti Group
Cacti 1.2.31 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月30日]
  掲載		 June 30, 2026, 11:21 a.m.
NVD Vulnerability Information
CVE-2026-40082
Summary

Cacti is an open source performance and fault management framework. Versions 1.2.30 and prior have missing session_regenerate_id() after login, leading to Session Fixation. session_regenerate_id() is NOT called after successful login. The login flow at auth_login.php:203-207 directly sets $_SESSION[SESS_USER_ID] without rotating the session ID. The session cookie configuration is otherwise good (httponly=true, samesite=Strict, secure=true for HTTPS at include/global.php:513-537), but these do not prevent session fixation via same-site vectors. This issue has been fixed in version 1.2.31.

Publication Date June 26, 2026, 8:17 a.m.
Registration Date June 27, 2026, 4:31 a.m.
Last Update June 30, 2026, 3:50 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:cacti:cacti:*:*:*:*:*:*:*:* 1.2.31
Related information, measures and tools
Common Vulnerabilities List