CVE-2023-41320
Account takeover via SQL Injection in UI layout preferences in GLPI
Em resumo
GLPI possui uma falha de injeção SQL na funcionalidade de preferências de layout que permite que atacantes assumam contas de administrador. Um atacante pode explorar essa vulnerabilidade para obter controle total do sistema.
Detalhe técnico
Uma vulnerabilidade de injeção SQL existe no gerenciamento de preferências de layout da GLPI, permitindo que atacantes injetem consultas SQL maliciosas. Essa injeção pode ser usada para extrair e modificar dados sensíveis, incluindo credenciais de administrador, resultando em sequestro de conta e comprometimento completo do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
GLPI stands for Gestionnaire Libre de Parc Informatique is a Free Asset and IT Management Software package, that provides ITIL Service Desk features, licenses tracking and software auditing. UI layout preferences management can be hijacked to lead to SQL injection. This injection can be use to takeover an administrator account. Users are advised to upgrade to version 10.0.10. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
glpi-project · glpiQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →