CVE-2023-36808
GLPI vulnerable to SQL injection through Computer Virtual Machine information
Vexday Risk Score
33Atención
Decisión SSVC (CISA)
Track
Sin señal de explotación → monitorear
CVSS 8.6EPSS 44.6%KEV nãoPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
05 jul 2023Publicada en NVD
Recomendación: Monitorear — sin señal de explotación por ahora.
En resumen
GLPI, un software gratuito de gestión de TI, tiene una falla en su formulario de Máquina Virtual de Computadora que permite a los atacantes inyectar comandos SQL maliciosos. Esto podría permitir que un atacante robe, modifique o elimine datos sensibles del sistema.
Detalle técnico
Vulnerabilidad de inyección SQL existe en el procesamiento del formulario de Máquina Virtual de Computadora en GLPI versiones 0.80 hasta 10.0.7, explotable a través de solicitudes de inventario sin sanitización adecuada de entrada. Un atacante con acceso para enviar información de VM puede ejecutar consultas SQL arbitrarias, comprometiendo potencialmente la integridad y confidencialidad de toda la base de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
GLPI is a free asset and IT management software package. Starting in version 0.80 and prior to version 10.0.8, Computer Virtual Machine form and GLPI inventory request can be used to perform a SQL injection attack. Version 10.0.8 has a patch for this issue. As a workaround, one may disable native inventory.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Productos afectados
glpi-project · glpi¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →