PT-2022-7397 · Glpi+2 · Glpi+2
Feals-404
+1
·
Publicado
2022-09-15
·
Atualizado
2024-07-26
·
CVE-2022-39323
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 10.0.4
Descrição
O problema está relacionado a um ataque baseado em tempo que utiliza uma injeção de SQL na API REST
user token. Isso pode permitir que um invasor remoto explore a vulnerabilidade, levando potencialmente à varredura de portas do servidor ou a outros ataques. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.Recomendações
Para versões anteriores à 10.0.4, atualize para a versão 10.0.4 para resolver o problema.
Como solução alternativa temporária, considere desativar o login com
user token na API REST para minimizar o risco de exploração.Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Glpi
Red Os