CVE-2023-28855

Опубликовано: 05 апр. 2023

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

Fields is a GLPI plugin that allows users to add custom fields on GLPI items forms. Prior to versions 1.13.1 and 1.20.4, lack of access control check allows any authenticated user to write data to any fields container, including those to which they have no configured access. Versions 1.13.1 and 1.20.4 contain a patch for this issue.

Ссылки

https://github.com/pluginsGLPI/fields/commit/784260be7db185bb1e7d66b299997238c4c0205d
Patch
https://github.com/pluginsGLPI/fields/releases/tag/1.13.1
Release Notes
https://github.com/pluginsGLPI/fields/releases/tag/1.20.4
Release Notes
https://github.com/pluginsGLPI/fields/security/advisories/GHSA-52vv-hm4x-8584
Vendor Advisory
https://github.com/pluginsGLPI/fields/commit/784260be7db185bb1e7d66b299997238c4c0205d
Patch
https://github.com/pluginsGLPI/fields/releases/tag/1.13.1
Release Notes
https://github.com/pluginsGLPI/fields/releases/tag/1.20.4
Release Notes
https://github.com/pluginsGLPI/fields/security/advisories/GHSA-52vv-hm4x-8584
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:teclib-edition:fields:*:*:*:*:*:glpi:*:*

Версия до 1.13.1 (исключая)

cpe:2.3:a:teclib-edition:fields:*:*:*:*:*:glpi:*:*

Версия от 1.20.0 (включая) до 1.20.4 (исключая)

EPSS

Процентиль: 34%

0.00129

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-269

Связанные уязвимости

BDU:2023-03415

CVSS3: 6.5

fstec

около 2 лет назад

Уязвимость плагина Fields системы работы с заявками и инцидентами GLPI, позволяющая нарушителю записывать данные в любой контейнер fields, включая те, к которым у него нет настроенного доступа

ROS-20230619-01

CVSS3: 10

redos