GLPI — это бесплатный пакет программного обеспечения для управления активами и ИТ. Начиная с версии 11.0.0 и до версии 11.0.5 администратор GLPI может выполнять запрос SSRF с помощью функции Webhook. Эта проблема исправлена в версии 11.0.5.
Показать оригинальное описание (английский)
GLPI is a free asset and IT management software package. From version 11.0.0 to before 11.0.5, a GLPI administrator can perform SSRF request through the Webhook feature. This issue has been patched in version 11.0.5.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Высокие
Нужны права админа
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Низкое
Частичная утечка данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N