PT-2022-1462 · Glpi+2 · Glpi+2

Bull53Y3Fl1Nch

·

Publicado

2022-01-27

·

Atualizado

2024-05-22

·

CVE-2022-21720

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 9.5.7
Descrição
O problema está relacionado à falta de proteção contra a exploração da estrutura de consultas SQL, permitindo que um invasor remoto execute consultas SQL arbitrárias. Um administrador de entidade pode recuperar dados normalmente inacessíveis por meio de injeção de SQL.
Recomendações
Para versões anteriores à 9.5.7, atualize para a versão 9.5.7 para resolver o problema.
Como solução alternativa temporária, considere desativar o direito de atualização de Entidades para impedir a exploração dessa vulnerabilidade.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALT-PU-2022-1463
ALT-PU-2022-1514
ALT-PU-2022-1526
ALT-PU-2022-2614
ALT-PU-2022-2624
ALT-PU-2022-2665
ALT-PU-2023-7633
ALT-PU-2024-8030
ALT-PU-2024-8094
BDU:2022-00591
CVE-2022-21720
GHSA-5HG4-R64R-RF83

Produtos afetados

Alt Linux
Glpi
Red Os