Guilhem7

**Name of the Vulnerable Software and Affected Versions** GLPI versions 0.85 through 10.0.22 **Description** GLPI is an asset and IT management software package. An authenticated user can perform a SQL injection. This allows for potential unauthorized access or modification of data within the system. **Recommendations** Update to version 10.0.23 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do goshs de 0.3.4 a 1.0.4 **Descrição** A falha permite que qualquer pessoa execute comandos no servidor quando o goshs é executado sem argumentos. Isso se deve à função `dispatchReadPump` não verificar a opção `-c`, permitindo a execução arbitrária de comandos através de websockets. **Recomendações** Para as versões do goshs de 0.3.4 a 1.0.4, atualize para a versão 1.0.5 para resolver a falha. Como solução temporária, considere desativar a função `dispatchReadPump` até que um patch esteja disponível. Evite executar o goshs sem argumentos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do GLPI de 9.5.0 a 10.0.16 **Descrição** O problema está relacionado a um gerenciamento incorreto de sessões no sistema GLPI, o que pode permitir que um invasor remoto obtenha acesso total ao aplicativo ao interceptar uma sessão. Um usuário não autenticado pode recuperar todos os IDs de sessão e usá-los para se apropriar de qualquer sessão válida. **Recomendações** Para as versões 9.5.0 a 10.0.16, atualize para a versão 10.0.17 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de gerenciamento de sessões até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.17 **Descrição** O problema está relacionado à falta de proteção contra ataques de injeção de SQL no sistema GLPI, que gerencia ativos de TI e incidentes. Um usuário autenticado pode explorar várias vulnerabilidades de injeção de SQL, uma das quais permite alterar os dados da conta de outro usuário e assumir o controle dela. **Recomendações** Para versões anteriores à 10.0.17, atualize para a versão 10.0.17 para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais de contas de usuário até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.16 **Descrição** O problema está relacionado ao sistema GLPI, um pacote de software de código aberto para gestão de ativos e TI que oferece funcionalidades de Service Desk baseadas em ITIL, rastreamento de licenças e auditoria de software. Um usuário técnico autenticado pode fazer upload de um script PHP malicioso e sequestrar o carregador de plug-ins para executar esse script malicioso. Isso ocorre devido ao controle externo do nome ou caminho do arquivo. **Recomendações** Para versões anteriores à 10.0.16, atualize para a versão 10.0.16 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao carregador de plug-ins para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** GLPI versions prior to 10.0.10 **Description** The issue is related to the management of UI layout preferences in GLPI, which can be hijacked to lead to SQL injection. This injection can be used to take over an administrator account. The vulnerability is associated with incorrect neutralization of special elements used in SQL commands, allowing a remote attacker to capture an administrator account. **Recommendations** For versions prior to 10.0.10, users are advised to upgrade to version 10.0.10. As a temporary workaround, consider restricting access to the UI layout preferences management feature until a patch is available. Avoid using the vulnerable UI layout preferences management feature in the affected software until the issue is resolved. At the moment, there is no information about other workarounds for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** GLPI versions prior to 10.0.9 **Description** The issue is related to SQL injection via dashboards administration, allowing a remote attacker to execute arbitrary SQL queries. This can be triggered by an administrator. **Recommendations** For versions prior to 10.0.9, update to version 10.0.9 to resolve the issue. As a temporary workaround, consider restricting access to dashboards administration to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.15 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de SQL no recurso de pesquisas salvas do GLPI, um pacote de software gratuito de gerenciamento de ativos e TI. Um usuário autenticado pode explorar essa vulnerabilidade para alterar os dados da conta de outro usuário e assumir o controle dela. A vulnerabilidade permite que um invasor remoto execute consultas SQL arbitrárias devido à proteção inadequada da estrutura das consultas SQL. **Recomendações** Para versões anteriores à 10.0.15, atualize para a versão 10.0.15 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de pesquisas salvas até que a atualização seja aplicada.