PT-2022-7406 · Glpi+2 · Glpi+2

Trasher

·

Publicado

2022-09-14

·

Atualizado

2024-07-26

·

CVE-2022-36112

CVSS v3.1

5.8

Média

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 10.0.3
Descrição
O problema está relacionado ao uso de feeds RSS ou calendários externos no planejamento, o que está sujeito a exploração por meio de falsificação de solicitação do lado do servidor (SSRF). Isso permite que um invasor examine as portas ou serviços abertos no servidor GLPI ou em sua rede privada. As respostas às consultas não são expostas ao usuário final, tornando-se um SSRF cego.
Recomendações
Para versões anteriores à 10.0.3, atualize para a versão 10.0.3 para resolver este problema.
No momento, não há soluções alternativas conhecidas para este problema.

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

ALT-PU-2022-2614
ALT-PU-2022-2624
ALT-PU-2022-2665
ALT-PU-2023-7633
ALT-PU-2024-8030
ALT-PU-2024-8094
BDU:2024-05818
CVE-2022-36112
GHSA-RQGX-GQHP-X8VV

Produtos afetados

Alt Linux
Glpi
Red Os