Moderatetrasher

**Nome do Software Vulnerável e Versões Afetadas** Versões do GLPI de 9.5.0 a 10.0.17 **Descrição** A vulnerabilidade permite acesso não autorizado ao GLPI quando um provedor de autenticação "Mail servers" é configurado para utilizar uma conexão OAuth fornecida pelo plugin OauthIMAP, aproveitando autorizações OAuth existentes. **Recomendações** Para as versões de 9.5.0 a 10.0.17, atualize para a versão 10.0.18 para resolver o problema. Como medida de contorno temporária, considere desativar qualquer provedor de autenticação "Mail servers" configurado para utilizar uma conexão OAuth fornecida pelo plugin OauthIMAP.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 9.5.3 **Descrição** A vulnerabilidade permite que qualquer usuário autenticado tenha permissões de leitura exclusiva sobre a agenda de todos os outros usuários, incluindo os administradores. Isso pode ser reproduzido criando uma nova agenda, copiando a URL CalDAV e usando um cliente CalDAV para sincronizar a agenda com a URL fornecida e as credenciais de qualquer usuário válido. O mesmo comportamento ocorre com qualquer grupo, permitindo que os usuários acessem a agenda mesmo que não pertençam a esse grupo. **Recomendações** Para versões anteriores à 9.5.3, atualize para a versão 9.5.3 para resolver o problema. Como solução alternativa temporária, considere remover o arquivo `caldav.php` para bloquear o acesso ao servidor CalDAV.

**Nome do software vulnerável e versões afetadas** Versões 9.5.0 a 9.5.1 do GLPI **Descrição** O problema diz respeito a um vazamento de informações do usuário por meio da seção pública de perguntas frequentes (FAQ). Ele foi introduzido na versão 9.5.0 e corrigido na versão 9.5.2. **Recomendações** Para as versões 9.5.0 a 9.5.1 do GLPI, como solução alternativa, desative o acesso público à seção de perguntas frequentes (FAQ). Atualize para a versão 9.5.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 9.4.6 **Descrição** O problema envolve uma chave de criptografia padrão, GLPIKEY, que é pública e utilizada em todas as instâncias. Isso permite que terceiros não autorizados descriptografem dados confidenciais armazenados com essa chave. A chave pode ser alterada antes da instalação do GLPI, mas, para instâncias existentes, os dados devem ser recriptografados com a nova chave. No entanto, é difícil identificar quais colunas ou linhas no banco de dados utilizam essa chave, especialmente no caso de plugins. Alterar a chave sem atualizar os dados pode causar problemas no envio de senhas, mas o rearmazenamento dos dados a partir da interface do usuário pode resolver isso. **Recomendações** Para versões anteriores à 9.4.6, atualize para a versão 9.4.6 ou posterior para resolver o problema. Além disso, considere criptografar novamente os dados confidenciais com uma nova chave e armazená-los novamente a partir da interface do usuário para evitar problemas no envio de senhas. Se possível, altere a chave de criptografia padrão antes de instalar o GLPI para evitar esse problema.