GLPI — это бесплатный пакет программного обеспечения для управления активами и ИТ. С версии 11.0.0 до версии 11.0.6 в поисковой системе GLPI существует неаутентифицированная слепая SQL-инъекция на основе времени. Эта уязвимость исправлена в версии 11.0.6.
Показать оригинальное описание (EN)
GLPI is a free asset and IT management software package. From 11.0.0 to before 11.0.6, an unauthenticated time-based blind SQL injection exists in GLPI's Search engine. This vulnerability is fixed in 11.0.6.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Glpi-Project Glpi
cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:*
|
11.0.0
|
11.0.6
|