GLPI — это бесплатный пакет программного обеспечения для управления активами и ИТ. Начиная с версии 0.85 и до версии 10.0.23, аутентифицированный пользователь может выполнять SQL-инъекцию. Эта проблема исправлена в версии 10.0.23.
Показать оригинальное описание (английский)
GLPI is a free asset and IT management software package. From version 0.85 to before 10.0.23, an authenticated user can perform a SQL injection. This issue has been patched in version 10.0.23.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N