Описание
Множественные уязвимости GLPI
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета GLPI или Установить обновление для пакета(ов) GLPI
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
19.06.2023
CVE-2023-28855
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость плагина Fields веб-приложения GLPI связана с отсутствием проверки контроля доступа. Эксплуатация уязвимости может позволить нарушителю записывать данные в любой контейнер fields, включая те, к которым у него нет настроенного доступа.
6.5 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2023-28852
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с недостаточной очисткой пользовательских данных в панели администрирования, пользователь может внедрить и выполнить произвольный код HTML и скрипт в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка».
4.8 Medium
CVSS3
4.7 Medium
CVSS2
CVE-2023-28849
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с недостаточной очисткой пользовательских данных в конечной точке инвентаризации GLPI, пользователь, не прошедший проверку подлинности, может отправить специально созданный запрос уязвимому приложению и выполнить произвольные команды SQL в базе данных приложения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать, удалять, изменять данные в базе данных и получать полный контроль над уязвимым приложением.
10 Critical
CVSS3
9.4 Critical
CVSS2
CVE-2023-28838
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с недостаточной очисткой пользовательских данных в конечной точке инвентаризации GLPI, пользователь может отправить специально созданный запрос затронутому приложению и выполнить произвольные команды SQL в базе данных приложения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать, удалять, изменять данные в базе данных и получать полный контроль над уязвимым приложением.
8.1 High
CVSS3
8.5 High
CVSS2
CVE-2023-28639
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с недостаточной очисткой пользовательских данных на страницах поиска, злоумышленник может заставить жертву перейти по специально созданной ссылке и выполнить произвольный код HTML и скрипта в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка».
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2023-28636
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с недостаточной очисткой пользовательских данных при обработке внешних ссылок, пользователь может внедрить и выполнить произвольный код HTML и скрипт в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка».
4.8 Medium
CVSS3
4.7 Medium
CVSS2
CVE-2023-28634
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с отсутствием авторизации, позволяющей пользователю с профилем «Технический специалист» просматривать и генерировать личный токен для суперадминистратора. Эксплуатация уязвимости может позволить нарушителю договориться о сеансе GLPI и захватить учетную запись суперадминистратора.
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2023-28633
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с недостаточной проверкой введенных пользователем данных в функции автообнаружения RSS, пользователь может отправить специально созданный HTTP-запрос и обмануть приложение, чтобы оно инициировало запросы к произвольным системам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, расположенным в локальной сети, или отправить вредоносные запросы на другие серверы из уязвимой системы.
3.5 Low
CVSS3
2.1 Low
CVSS2
CVE-2023-28632
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость веб-приложения GLPI связана с неправильным управлением привилегиями, аутентифицированный пользователь может изменять адреса электронной почты любого другого пользователя приложения, включая адрес электронной почты администратора. Эксплуатация уязвимости может позволить нарушителю использовать для захвата произвольной учетной записи с помощью функции «забытый пароль» и восстановления пароля на измененный адрес электронной почты.
8.1 High
CVSS3
8.5 High
CVSS2