CVE-2023-36808
GLPI vulnerable to SQL injection through Computer Virtual Machine information
Vexday Risk Score
33Atenção
Decisão SSVC (CISA)
Track
Sem sinal de exploração → monitorar
CVSS 8.6EPSS 44.6%KEV nãoPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
05 jul 2023Publicada no NVD
Recomendação: Monitorar — sem sinal de exploração no momento.
Em resumo
O GLPI, um software gratuito de gerenciamento de TI, tem uma falha no formulário de Máquina Virtual de Computador que permite que atacantes injetem comandos SQL maliciosos. Isso pode permitir que um atacante roube, modifique ou delete dados sensíveis do sistema.
Detalhe técnico
Vulnerabilidade de injeção SQL existe no processamento do formulário de Máquina Virtual de Computador no GLPI versões 0.80 até 10.0.7, explorável via requisições de inventário sem sanitização adequada de entrada. Um atacante com acesso para enviar informações de VM pode executar consultas SQL arbitrárias, comprometendo potencialmente integridade e confidencialidade de todo o banco de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
GLPI is a free asset and IT management software package. Starting in version 0.80 and prior to version 10.0.8, Computer Virtual Machine form and GLPI inventory request can be used to perform a SQL injection attack. Version 10.0.8 has a patch for this issue. As a workaround, one may disable native inventory.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Produtos afetados
glpi-project · glpiQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →