Borelenzo

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.16 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL em alguns scripts AJAX do software GLPI. Essa vulnerabilidade pode ser explorada por um usuário autenticado para alterar os dados da conta de outro usuário e assumir o controle dela. A vulnerabilidade é causada pela neutralização incorreta de elementos especiais usados em comandos SQL, permitindo que um invasor remoto modifique os dados da conta do usuário e assuma o controle sobre ela. **Recomendações** Para versões anteriores à 10.0.16, atualize para a versão 10.0.16 para resolver o problema. Como solução temporária, considere restringir o acesso aos scripts AJAX vulneráveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.13 **Descrição** O GLPI é um pacote de software livre para gestão de ativos e TI que inclui gestão de data centers, central de atendimento ITIL, rastreamento de licenças e auditoria de software. Um usuário autenticado pode obter o endereço de e-mail de todos os usuários do GLPI. **Recomendações** Para versões anteriores à 10.0.13, atualize para a versão 10.0.13 para resolver o problema. Como solução temporária, considere restringir o acesso a informações confidenciais dos usuários até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.13 **Descrição** O problema está relacionado a um procedimento de autorização insuficiente no GLPI, um pacote de software gratuito para gestão de ativos e TI. Isso permite que um usuário autenticado acesse dados de campos confidenciais de itens aos quais possui acesso de leitura. A vulnerabilidade pode ser explorada por um invasor remoto para obter acesso não autorizado a informações protegidas. **Recomendações** Para versões anteriores à 10.0.13, atualize para a versão 10.0.13 para resolver o problema. Como solução temporária, considere restringir o acesso a dados de campos confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.15 **Descrição** O problema diz respeito a uma vulnerabilidade de injeção de SQL que pode ser explorada por um usuário autenticado por meio da função de pesquisa no mapa. Essa vulnerabilidade permite que um invasor remoto divulgue informações protegidas devido à falta de medidas de proteção para a estrutura da consulta SQL. **Recomendações** Para versões anteriores à 10.0.15, atualize para a versão 10.0.15 para resolver o problema. Como solução temporária, considere restringir o acesso à função de pesquisa no mapa até que a atualização seja aplicada.