PT-2024-3107 · Glpi+2 · Glpi+2

Guilhem7

·

Publicado

2022-09-15

·

Atualizado

2025-11-18

·

CVE-2024-29889

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 10.0.15
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL no recurso de pesquisas salvas do GLPI, um pacote de software gratuito de gerenciamento de ativos e TI. Um usuário autenticado pode explorar essa vulnerabilidade para alterar os dados da conta de outro usuário e assumir o controle dela. A vulnerabilidade permite que um invasor remoto execute consultas SQL arbitrárias devido à proteção inadequada da estrutura das consultas SQL.
Recomendações
Para versões anteriores à 10.0.15, atualize para a versão 10.0.15 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de pesquisas salvas até que a atualização seja aplicada.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALT-PU-2022-2614
ALT-PU-2022-2624
ALT-PU-2022-2665
ALT-PU-2023-7633
ALT-PU-2024-7181
ALT-PU-2024-7305
ALT-PU-2024-8030
ALT-PU-2024-8094
BDU:2024-03309
CVE-2024-29889
GHSA-8XVF-V6VV-R75G

Produtos afetados

Alt Linux
Glpi
Red Os