PT-2024-3701 · Glpi+2 · Glpi+2

Borelenzo

·

Publicado

2022-09-15

·

Atualizado

2025-01-21

·

CVE-2024-31456

CVSS v3.1

7.7

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 10.0.15
Descrição
O problema diz respeito a uma vulnerabilidade de injeção de SQL que pode ser explorada por um usuário autenticado por meio da função de pesquisa no mapa. Essa vulnerabilidade permite que um invasor remoto divulgue informações protegidas devido à falta de medidas de proteção para a estrutura da consulta SQL.
Recomendações
Para versões anteriores à 10.0.15, atualize para a versão 10.0.15 para resolver o problema. Como solução temporária, considere restringir o acesso à função de pesquisa no mapa até que a atualização seja aplicada.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALT-PU-2022-2614
ALT-PU-2022-2624
ALT-PU-2022-2665
ALT-PU-2023-7633
ALT-PU-2024-7181
ALT-PU-2024-7305
ALT-PU-2024-8030
ALT-PU-2024-8094
BDU:2024-04047
CVE-2024-31456
GHSA-GCJ4-2CP3-6H5J

Produtos afetados

Alt Linux
Glpi
Red Os