Qbiguenet

**Nome do software vulnerável e versões afetadas** Versões do GLPI anteriores à 10.0.17 **Descrição** O problema está relacionado à proteção insuficiente da estrutura da página web e à sanitização inadequada de dados no GLPI, permitindo que um invasor remoto realize um ataque de cross-site scripting (XSS). Isso pode ser feito através do upload de um script SVG malicioso, que será executado quando um usuário tentar visualizar o conteúdo do documento. **Recomendações** Para versões anteriores à 10.0.17, atualize para a versão 10.0.17 para resolver o problema. Como solução temporária, considere restringir o upload de arquivos SVG ou desativar a funcionalidade que permite aos técnicos fazer upload de documentos até que um patch seja aplicado. Evite usar a funcionalidade afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do GLPI de 0.80 a 10.0.16 **Descrição** O problema está relacionado à ausência de um mecanismo de recuperação de senha no sistema GLPI, o que pode ser explorado por um invasor remoto para contornar as restrições de segurança existentes. Um administrador com acesso ao conteúdo das notificações enviadas pode assumir o controle de uma conta com privilégios superiores. **Recomendações** Para as versões do GLPI 0.80 a 10.0.16, atualize para a versão 10.0.17 para resolver o problema. Como solução temporária, considere restringir o acesso ao conteúdo das notificações para administradores, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do GLPI de 9.1.0 a 10.0.16 **Descrição** O problema está relacionado a um controle de acesso incorreto no sistema GLPI, o que pode permitir que um invasor remoto explore a vulnerabilidade e, potencialmente, divulgue informações confidenciais. Um técnico com acesso à API pode assumir o controle de uma conta com privilégios superiores. **Recomendações** Para as versões 9.1.0 a 10.0.16 do GLPI, atualize para a versão 10.0.17 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do GLPI 9.3.0 a 10.0.16 Descrição: O problema está relacionado a um controle de acesso incorreto no sistema GLPI, que pode ser explorado por um invasor remoto para obter acesso não autorizado a uma conta por meio da API. Um usuário autenticado pode usar a API para assumir o controle de qualquer usuário com o mesmo nível de privilégios ou um nível inferior. Recomendações: Para as versões 9.3.0 a 10.0.16 do GLPI, atualize para a versão 10.0.17 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API para minimizar o risco de exploração.