GLPI — это бесплатный пакет программного обеспечения для управления активами и ИТ. Начиная с версии 0.85 и до версии 10.0.23, аутентифицированный пользователь может выполнять SQL-инъекцию. Эта проблема исправлена в версии 10.0.23.
Показать оригинальное описание (EN)
GLPI is a free asset and IT management software package. From version 0.85 to before 10.0.23, an authenticated user can perform a SQL injection. This issue has been patched in version 10.0.23.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1