PT-2026-57275 · Glpi · Datainjection

Ryukk33

·

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-11321

CVSS v3.1

6.4

Média

VetorAV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas DataInjection plugin for GLPI versão 2.15.6
Description Um usuário autenticado com acesso ao recurso de injeção de dados pode realizar uma injeção de SQL cega baseada em tempo. Isso ocorre porque o plugin concatena valores de campos CSV fornecidos pelo usuário diretamente em consultas SQL durante o processo de importação de CSV, sem utilizar parametrização ou escape. Um invasor pode inserir expressões SQL, como SLEEP(), em um campo mapeado, como Serial Number, para manipular a consulta e extrair informações confidenciais do banco de dados.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-11321

Produtos afetados

Datainjection