M00Nback

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.3 **Descrição** O problema está relacionado à validação inadequada dos dados inseridos na solicitação no controlador do plugin, permitindo o acesso à API de baixo nível da classe Plugin. Isso pode ser explorado por um invasor para alterar dados do banco de dados. O invasor deve ter direitos de atualização em “Configuração geral” para realizar esse ataque. **Recomendações** Para versões anteriores à 10.0.3, atualize para a versão 10.0.3 para resolver o problema. Para usuários que não possam atualizar, remova o script `front/plugin.form.php` como uma solução temporária.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.3 **Descrição** O problema está relacionado a um ataque de injeção de SQL que poderia permitir que um invasor simulasse o login de um usuário arbitrário. Isso se deve à falta de medidas de proteção para a estrutura da consulta SQL. A vulnerabilidade pode ser explorada remotamente, permitindo potencialmente que um invasor examine as portas ou serviços do servidor e realize ataques de injeção de SQL. **Recomendações** Para versões anteriores à 10.0.3, atualize para a versão 10.0.3 para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, desative a configuração da API `Enable login with external token`.