Data: 2022/10/07
Eragindako baliabideak:
GLPI, 9.5.9 edo 10.0.3 bertsioen aurrekoak.
Azalpena:
Larritasun kritikoko 2 kalteberatasun identifikatu dira GLPIn, horietako bat GLPIk erabilitako HTMLAWED hirugarrenen liburutegian; haiek ustiatuz, erasotzaile batek aukera izan dezake SQL injekzioa eta kodearen urruneko exekuzioa egiteko.
Konponbidea:
Eguneratu bertsioak:
Xehetasunak:
- Erasotzaile batek API token definitua duen edozein erabiltzaileren saio-hasiera bat simula dezake, SQL injekzio bat erabiliz autentifikazio-prozesuan. CVE-2022-35947 identifikatzailea esleitu zaio kalteberatasun horri.
- GLPIren barruan dagoen HTMLAWED hirugarrenen liburutegiak proba-fitxategi bat dauka, eta hori balia daiteke autentifikatu gabeko kodearen urruneko exekuzio bat egiteko. Kalteberatasun horren ustiapena urriaren hasieratik jasota dago. CVE-2022-35914 identifikatzailea esleitu zaio kalteberatasun horri.