Описание
Множественные уязвимости glpi
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета GLPI или Установить обновление для пакета(ов) GLPI
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
09.11.2023
CVE-2023-41320
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с взломом макета пользовательского интерфейса и внедрению SQL кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, захватить учетную запись администратора
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2023-41321
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
6.5 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2023-41322
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связанная с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ над учетной записью другого пользователя
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2023-41323
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить логины пользователей
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2023-41324
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связанная с наличием у API пользователя доступа на чтение ресурсов других пользователей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть учетные записи других пользователей.
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2023-41326
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связанная с перехватом функции Kanban и последующим изменением любых пользовательских полей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть учетные записи других пользователей.
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2023-41888
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связанная с отсутствием фильтрации путей по URL-адресу GLPI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать вредоносный URL-адрес страницы входа, который можно использовать для попытки фишинговой атаки на учетные данные пользователя
5.4 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2023-42461
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана использованием поля ввода субъектов ITIL из формы заявки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять SQL-инъекции
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2023-42462
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана изменением процесса загрузки, удаляя некоторые файлы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загрузить произвольные файлы в систему
9.1 Critical
CVSS3
9.4 Critical
CVSS2