PT-2024-5860 · Glpi+2 · Glpi+2

Borelenzo

·

Publicado

2024-07-10

·

Atualizado

2025-01-07

·

CVE-2024-37148

CVSS v2.0

8.5

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do GLPI anteriores à 10.0.16
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de SQL em alguns scripts AJAX do software GLPI. Essa vulnerabilidade pode ser explorada por um usuário autenticado para alterar os dados da conta de outro usuário e assumir o controle dela. A vulnerabilidade é causada pela neutralização incorreta de elementos especiais usados em comandos SQL, permitindo que um invasor remoto modifique os dados da conta do usuário e assuma o controle sobre ela.
Recomendações
Para versões anteriores à 10.0.16, atualize para a versão 10.0.16 para resolver o problema. Como solução temporária, considere restringir o acesso aos scripts AJAX vulneráveis até que a atualização seja aplicada.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALT-PU-2024-10022
ALT-PU-2024-9613
BDU:2024-06607
CVE-2024-37148
GHSA-P626-HPH9-P6FJ

Produtos afetados

Alt Linux
Glpi
Red Os