← voltar
CVE-2024-29889

GLPI contains an SQL injection through the saved searches

CVSS 7.1 HIGHEPSS 64.9%CWE-89
Em resumo

O GLPI possui uma falha de segurança na funcionalidade de buscas salvas que permite que usuários logados injetem comandos SQL maliciosos. Um atacante poderia usar isso para alterar os dados de conta de outro usuário e assumir o controle dela.

Detalhe técnico

Vulnerabilidade de injeção SQL na funcionalidade de buscas salvas do GLPI anterior à versão 10.0.15 permite que atacantes autenticados executem consultas SQL arbitrárias. O vetor de ataque requer credenciais válidas de usuário e pode resultar em modificação não autorizada de dados de conta e elevação de privilégio através da tomada de controle de conta.

Resumo gerado e traduzido por IA a partir da descrição oficial.
GLPI is a Free Asset and IT Management Software package. Prior to 10.0.15, an authenticated user can exploit a SQL injection vulnerability in the saved searches feature to alter another user account data take control of it. This vulnerability is fixed in 10.0.15.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Produtos afetados
glpi-project · glpi

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/glpi-project/glpi/commit/0a6b28be4c0f848106c60b554c703ec2e178d6c7https://github.com/glpi-project/glpi/security/advisories/GHSA-8xvf-v6vv-r75g