PT-2022-7409 · Glpi+2 · Glpi+2

Trasher

·

Publicado

2022-04-21

·

Atualizado

2024-07-26

·

CVE-2022-24867

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
GLPI (versões afetadas não especificadas)
Descrição
O problema está relacionado a um erro na transferência de configuração para JavaScript no sistema GLPI, em que algumas entradas são filtradas, mas a variável ldap pass não é. Isso permite que um invasor remoto obtenha acesso não autorizado à senha do root dn. O GLPI é um pacote de software gratuito para gestão de ativos e TI que oferece recursos de Service Desk ITIL, rastreamento de licenças e auditoria de software.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Information Disclosure

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-522

Identificadores relacionados

ALT-PU-2022-1914
ALT-PU-2022-2614
ALT-PU-2022-2624
ALT-PU-2022-2665
ALT-PU-2023-7633
ALT-PU-2024-8030
ALT-PU-2024-8094
BDU:2024-05821
CVE-2022-24867
GHSA-4R49-52Q9-5FGR

Produtos afetados

Alt Linux
Glpi
Red Os