Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-09029

Опубликовано: 13 дек. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI связана с некорректной нейтрализацией специальных элементов, используемых в SQL-командах. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, измененить логику запроса к базе данных путем внедрения произвольных операторов SQL

Вендор

GLPI Project

Наименование ПО

GLPI

Версия ПО

от 10.0.0 до 10.0.11 (GLPI)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/glpi-project/glpi/commit/ee2d674481ebef177037e8e14d35c9455b5cfd46
https://github.com/glpi-project/glpi/releases/tag/10.0.11
https://github.com/glpi-project/glpi/security/advisories/GHSA-v799-2mp3-wgfr

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.28024
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20241008-07

CVSS3: 9.8
redos
9 месяцев назад

Множественные уязвимости glpi

ubuntu логотип

CVE-2023-46727

CVSS3: 8.6
ubuntu
больше 1 года назад

GLPI is a free asset and IT management software package. Starting in version 10.0.0 and prior to version 10.0.11, GLPI inventory endpoint can be used to drive a SQL injection attack. Version 10.0.11 contains a patch for the issue. As a workaround, disable native inventory.

nvd логотип

CVE-2023-46727

CVSS3: 8.6
nvd
больше 1 года назад

GLPI is a free asset and IT management software package. Starting in version 10.0.0 and prior to version 10.0.11, GLPI inventory endpoint can be used to drive a SQL injection attack. Version 10.0.11 contains a patch for the issue. As a workaround, disable native inventory.

debian логотип

CVE-2023-46727

CVSS3: 8.6
debian
больше 1 года назад

GLPI is a free asset and IT management software package. Starting in v ...

EPSS

Процентиль: 96%
0.28024
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2