CVE-2021-39210
Autologin cookie accessible by scripts
Em resumo
A função 'lembrar-me' do GLPI armazena um cookie de login que scripts maliciosos conseguem acessar, permitindo roubar a credencial e se passar pelo usuário. O problema afeta versões anteriores à 9.5.6.
Detalhe técnico
O cookie de autologin no GLPI não possui a flag HttpOnly, permitindo acesso via JavaScript. Um plugin malicioso ou código XSS pode capturar este cookie e utilizá-lo para criar sessões autenticadas sem interação do usuário. A vulnerabilidade requer instalação de plugin malicioso ou exploração de XSS no mesmo domínio.
Resumo gerado e traduzido por IA a partir da descrição oficial.
GLPI is a free Asset and IT management software package. In versions prior to 9.5.6, the cookie used to store the autologin cookie (when a user uses the "remember me" feature) is accessible by scripts. A malicious plugin that could steal this cookie would be able to use it to autologin. This issue is fixed in version 9.5.6. As a workaround, one may avoid using the "remember me" feature.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
glpi-project · glpiQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →