← voltar
CVE-2022-35914

CVE-2022-35914

CVSS 9.8 CRITICALEPSS 99.5%● KEVCWE-74
Em resumo

Um arquivo de teste deixado no módulo htmlawed do GLPI permite que invasores injetem e executem código PHP arbitrário no servidor. Esta é uma vulnerabilidade crítica que dá aos invasores controle total do sistema.

Detalhe técnico

O arquivo htmLawedTest.php no módulo vendor htmlawed está acessível publicamente e aceita entrada não confiável que é avaliada como código PHP (CWE-74: Neutralização Imprópria de Elementos Especiais na Saída). Invasores remotos podem alcançar execução de código remoto não autenticada no GLPI versões até 10.0.2, resultando em comprometimento total do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
/vendor/htmlawed/htmlawed/htmLawedTest.php in the htmlawed module for GLPI through 10.0.2 allows PHP code injection.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas10
githubgithub.com/cosad3s/CVE-2022-35914-poc51githubgithub.com/senderend/CVE-2022-359144githubgithub.com/0xGabe/CVE-2022-359142githubgithub.com/noxlumens/CVE-2022-35914_poc2githubgithub.com/Lzer0Kx01/CVE-2022-359142githubgithub.com/6E6L6F/CVE-2022-359141githubgithub.com/Johnermac/CVE-2022-359140githubgithub.com/btar1gan/exploit_CVE-2022-359140exploitdbwww.exploit-db.com/exploits/52023não verificadocve_referencepacketstormsecurity.com/files/169501/GLPI-10.0.2-Command-Injection.htmlnão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/169501/GLPI-10.0.2-Command-Injection.htmlhttps://github.com/glpi-project/glpi/releaseshttps://github.com/Orange-Cyberdefense/CVE-repository/https://github.com/Orange-Cyberdefense/CVE-repository/blob/master/PoCs/POC_2022-35914.shhttps://glpi-project.org/fr/glpi-10-0-3-disponible/https://mayfly277.github.io/posts/GLPI-htmlawed-CVE-2022-35914/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-35914http://www.bioinformatics.org/phplabware/sourceer/sourceer.php?&Sfs=htmLawedTest.php&Sl=.%2Finternal_utilities%2FhtmLawed