PT-2020-12521 · Teclib+1 · Glpi+1

Publicado

2020-05-12

·

Atualizado

2021-11-04

·

CVE-2020-11060

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 9.4.6
Descrição
A vulnerabilidade permite que um invasor execute comandos do sistema ao abusar da funcionalidade de backup. Isso pode ser explorado por uma conta com privilégios de manutenção e o direito de adicionar redes Wi-Fi. Teoricamente, também pode ser explorada por um invasor sem uma conta válida usando um CSRF, embora a dificuldade de exploração torne isso mais provável com certos privilégios.
Recomendações
Para versões anteriores à 9.4.6, atualize para a versão 9.4.6 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de backup e limitar os privilégios de manutenção para minimizar o risco de exploração.

Exploit

Correção

Special Elements Injection

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-352

Identificadores relacionados

ALT-PU-2020-2358
ALT-PU-2020-2455
CVE-2020-11060
GHSA-CVVQ-3FWW-5V6F

Produtos afetados

Alt Linux
Glpi