Cacti自动化图形规则创建失败问题分析与解决方案

问题描述

在Cacti 1.2.30版本中，用户报告在创建自动化图形规则时遇到SQL注入错误。具体表现为当用户尝试添加图形创建条件时，系统错误地识别为SQL注入尝试并阻止操作。该问题主要出现在以下场景：

1. 使用设备选择条件时（如ht.name匹配正则表达式"Cisco"）
2. 添加图形创建条件时（如ifOperStatus匹配"up"）
3. 使用包含括号的OR条件组合时

技术背景

Cacti的自动化图形规则功能允许管理员基于预定义条件自动为设备创建监控图形。该功能通过分析设备属性、接口状态等条件来决定是否应为特定设备创建监控图形。

在实现上，系统会对用户输入的条件进行SQL注入检查，确保不会将恶意SQL语句注入到数据库查询中。然而，当前的检查机制存在一些缺陷，导致合法的条件被误判为SQL注入尝试。

根本原因分析

经过技术团队调查，发现问题主要由两个因素导致：

1. 字段检查不完整：系统在检查字段合法性时，未充分考虑graph_templates_graph表中的字段。当前的检查逻辑只验证了host、host_template和graph_templates表中的字段，当用户使用gtg.前缀的字段时会被误判为SQL注入。

2. SNMP缓存检查问题：对于SNMP相关字段，系统检查的是host_snmp_cache表中的数据，而实际下拉选项数据来自数据查询。如果设备尚未被轮询，相关字段可能不存在于缓存表中，导致检查失败。

解决方案

针对上述问题，技术团队提出了以下修复方案：

1. 扩展字段检查范围：

// 修改前
$field_name = str_replace(array('ht.', 'h.', 'gt.'), '', $save['field']);
if (!db_column_exists('host', $field_name) && !db_column_exists('host_template', $field_name) && !db_column_exists('graph_templates', $field_name)) {

// 修改后
$field_name = str_replace(array('ht.', 'h.', 'gt.','gtg.'), '', $save['field']);
if (!db_column_exists('host', $field_name) && !db_column_exists('host_template', $field_name) && !db_column_exists('graph_templates', $field_name) && !db_column_exists('graph_templates_graph', $field_name)) {

2. 优化SNMP字段检查逻辑：需要重新评估SNMP字段的验证机制，考虑将数据查询结果也纳入验证范围，避免仅依赖缓存数据。

影响范围

该问题主要影响以下环境：

• 使用MySQL 8.x数据库的系统
• 需要创建复杂自动化图形规则的用户
• 使用gtg.前缀字段或SNMP接口字段的条件

临时解决方案

在官方修复发布前，受影响用户可以：

1. 避免使用括号组合条件
2. 优先使用基本字段而非SNMP接口字段
3. 确保相关设备已完成至少一次轮询，使SNMP字段存在于缓存中

总结

Cacti自动化图形规则的SQL注入检查机制存在过度防御问题，导致合法操作被错误拦截。通过扩展字段检查范围和优化SNMP验证逻辑，可以解决这一问题。该修复已纳入1.2.x分支的更新计划，建议用户关注后续版本更新。