Описание
Множественные уязвимости glpi
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета GLPI или Установить обновление для пакета(ов) GLPI
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
26.07.2024
CVE-2022-24867
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с передачей конфигурации в javascript некоторые записи отфильтровываются, но переменная ldap_pass не фильтруется. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, узнать пароль для root dn
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-24869
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с использованием действий с тикетамм или настройкой сообщений для входа со ссылкой на таблицу стилей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку с использованием межсайтового скриптинга
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-24868
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с отсутствием очистки при загрузке файлов SVG и внедрением javascript в аватар пользователей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку с использованием межсайтового скриптинга
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-31061
Идентификатор БДУ ФСТЭК России:
BDU:2022-04910Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2022-36112
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с тем, что использование RSS-каналов или внешнего календаря при планировании подвержено эксплойту SSRF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, сканировать порты сервера или служб, открытых на сервере GLPI или его частной сети
5.8 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-35947
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с тем, что неправильно нейтрализуются специальные элементы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, сканировать порты сервера или служб, проводить атаки SQL-инъекцией
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2022-35946
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с отсутствием проверки входных запросов должным образом в контроллере плагина и использованием для доступа к низкоуровневому API класса плагина. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, сканировать порты сервера или служб, воздействовать на целостность системы
6.5 Medium
CVSS3
9.4 Critical
CVSS2
CVE-2022-35945
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с тем, что регистрационный ключ, не экранируется должным образом на странице конфигурации регистрационного ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть файла cookie администратора GLPI
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-31187
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с отсутствием нейтрализации HTML-тегов должным образом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, воздействовать на конфиденциальность системы
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-31143
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с раскрытием конфиденциальной информации неавторизованному лицу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть конфиденциальные данные
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-39276
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с подделкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на вредоносный URL-адрес
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-39262
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с определением содержимого в формате RTF, которое будет отображаться на странице входа, содержащего вредоносный код. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и похитить конфиденциальные данные
4.8 Medium
CVSS3
4.7 Medium
CVSS2
CVE-2022-39234
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с недостаточным истечением срока сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на целостность системы
8.8 High
CVSS3
9 Critical
CVSS2
CVE-2022-39376
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с неправильной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на целостность системы
6.5 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2022-39375
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с неправильной нейтрализацией входных данных во время генерации веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить вредоносный код
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-39372
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с внедрением вредоносного кода администратором. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить вредоносный код учетных записях
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-39370
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с получить возможностью получить доступ к панели отладки через скрипт обновления GLPI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на целостность системы
4.3 Medium
CVSS3
4 Medium
CVSS2
CVE-2022-39277
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с отсутствием должной очистки внешних ссылок. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку Cross-Site Scripting (XSS)
4.8 Medium
CVSS3
3.3 Low
CVSS2
CVE-2022-39323
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость системы работы с заявками и инцидентами GLPI связана с тем, что неправильно нейтрализуются специальные элементы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, сканировать порты сервера или служб, провести атаку на основе времени с использованием SQL-инъекции в API REST user_token
9.8 Critical
CVSS3
10 Critical
CVSS2