GLPI — это бесплатный пакет программного обеспечения для управления активами и ИТ. Начиная с версий 10.0.0 и до версий 10.0.24 и 11.0.6, прошедший проверку подлинности пользователь может выполнить SQL-инъекцию с помощью функции экспорта журналов. Эта уязвимость исправлена в версиях 10.0.24 и 11.0.6.
Показать оригинальное описание (EN)
GLPI is a free asset and IT management software package. From 10.0.0 to before 10.0.24 and 11.0.6, an authenticated user can perform a SQL injection via the logs export feature. This vulnerability is fixed in 10.0.24 and 11.0.6.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Glpi-Project Glpi
cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:*
|
10.0.0
|
10.0.24
|
|
Glpi-Project Glpi
cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:*
|
11.0.0
|
11.0.6
|