CVE-2022-39323
SQL Injection on REST API in GLPI
Em resumo
O GLPI possui uma falha de SQL Injection na API REST, no parâmetro user_token, que permite ataques baseados em tempo para extrair dados sensíveis. Essa vulnerabilidade autoriza usuários não autorizados a contornar a autenticação e acessar ou modificar o banco de dados do sistema.
Detalhe técnico
Existe uma vulnerabilidade de SQL Injection baseada em tempo no mecanismo de autenticação user_token da API REST do GLPI (CWE-89), permitindo que invasores remotos executem consultas SQL arbitrárias sem autenticação. O ataque explora validação inadequada de entrada no endpoint da API, possibilitando exfiltração de dados através de canais de tempo; corrigido na versão 10.0.4.
Resumo gerado e traduzido por IA a partir da descrição oficial.
GLPI stands for Gestionnaire Libre de Parc Informatique. GLPI is a Free Asset and IT Management Software package that provides ITIL Service Desk features, licenses tracking and software auditing. Time based attack using a SQL injection in api REST user_token. This issue has been patched, please upgrade to version 10.0.4. As a workaround, disable login with user_token on API Rest.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
glpi-project · glpiQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →