CVE-2020-5248

Versões do GLPI anteriores à 9.4.6

O problema envolve uma chave de criptografia padrão, GLPIKEY, que é pública e utilizada em todas as instâncias. Isso permite que terceiros não autorizados descriptografem dados confidenciais armazenados com essa chave. A chave pode ser alterada antes da instalação do GLPI, mas, para instâncias existentes, os dados devem ser recriptografados com a nova chave. No entanto, é difícil identificar quais colunas ou linhas no banco de dados utilizam essa chave, especialmente no caso de plugins. Alterar a chave sem atualizar os dados pode causar problemas no envio de senhas, mas o rearmazenamento dos dados a partir da interface do usuário pode resolver isso.

Para versões anteriores à 9.4.6, atualize para a versão 9.4.6 ou posterior para resolver o problema. Além disso, considere criptografar novamente os dados confidenciais com uma nova chave e armazená-los novamente a partir da interface do usuário para evitar problemas no envio de senhas. Se possível, altere a chave de criptografia padrão antes de instalar o GLPI para evitar esse problema.