Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04794

Опубликовано: 07 окт. 2020
Источник: fstec
CVSS3: 5
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI связана с некорректной нейтрализацией специальных элементов, используемых в SQL-командах. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-запросы к базе данных в целевой системе посредством отправки специально созданного запроса к уязвимому приложению

Вендор

GLPI Project
АО «ИВК»

Наименование ПО

GLPI
Альт 8 СП

Версия ПО

до 9.5.2 (GLPI)
- (Альт 8 СП)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)

Возможные меры по устранению уязвимости

Использвание рекомендаций:
https://github.com/glpi-project/glpi/commit/3dc4475c56b241ad659cc5c7cb5fb65727409cf0
https://github.com/glpi-project/glpi/security/advisories/GHSA-jwpv-7m4h-5gvc
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 52%
0.00293
Низкий

5 Medium

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-15226

CVSS3: 5
ubuntu
больше 5 лет назад

In GLPI before version 9.5.2, there is a SQL Injection in the API's search function. Not only is it possible to break the SQL syntax, but it is also possible to utilise a UNION SELECT query to reflect sensitive information such as the current database version, or database user. The most likely scenario for this vulnerability is with someone who has an API account to the system. The issue is patched in version 9.5.2. A proof-of-concept with technical details is available in the linked advisory.

nvd логотип

CVE-2020-15226

CVSS3: 5
nvd
больше 5 лет назад

In GLPI before version 9.5.2, there is a SQL Injection in the API's search function. Not only is it possible to break the SQL syntax, but it is also possible to utilise a UNION SELECT query to reflect sensitive information such as the current database version, or database user. The most likely scenario for this vulnerability is with someone who has an API account to the system. The issue is patched in version 9.5.2. A proof-of-concept with technical details is available in the linked advisory.

debian логотип

CVE-2020-15226

CVSS3: 5
debian
больше 5 лет назад

In GLPI before version 9.5.2, there is a SQL Injection in the API's se ...

EPSS

Процентиль: 52%
0.00293
Низкий

5 Medium

CVSS3

2.6 Low

CVSS2