Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20240812-13

Опубликовано: 12 авг. 2024
Источник: redos

Описание

Множественные уязвимости glpi

Наименование уязвимого пакета

glpi

Пакет обновления

glpi-0:10.0.13-1.el7.noarch

Версия уязвимого пакета младше

10.0.13-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета glpi или Установить обновление для пакета(ов) glpi

Версия ОС

7.3

Архитектура ОС

х86_64

Дата публикации бюллетеня

12.08.2024

CVE-2024-23645

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость программного обеспечения для управления активами и центрами обработки данных GLPI связана с неправильной нейтрализацией входных данных во время генерации веб-страниц. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать вредоносный URL для выполнения XSS на страницах отчетов

6.1 Medium

CVSS3

6.4 Medium

CVSS2

CVE-2023-51446

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость программного обеспечения для управления активами и центрами обработки данных GLPI связана с нейтрализацией специальных элементов, используемых в запросе LDAP. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать LDAP инъекции

8.1 High

CVSS3

7.6 High

CVSS2

CVE-2024-27914

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость программного обеспечения для управления активами и центрами обработки данных GLPI связана с предоставлением вредоносной ссылки администратору GLPI неаутентифицированному пользователю. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить XSS атаку

5.3 Medium

CVSS3

5.4 Medium

CVSS2

CVE-2024-27098

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость программного обеспечения для управления активами и центрами обработки данных GLPI связана с подделкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку на основе SSRF с использованием создания произвольного объекта

6.4 Medium

CVSS3

5.5 Medium

CVSS2

CVE-2024-27096

Идентификатор БДУ ФСТЭК России:

BDU:2024-02142

Описание уязвимости:

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-код в поисковой системе для извлечения данных

7.7 High

CVSS3

6.8 Medium

CVSS2

CVE-2024-27937

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость программного обеспечения для управления активами и центрами обработки данных GLPI связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить конфиденциальную информацию

6.5 Medium

CVSS3

6.8 Medium

CVSS2

CVE-2024-27930

Идентификатор БДУ ФСТЭК России:

BDU:2024-02268

Описание уязвимости:

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

6.5 Medium

CVSS3

6.8 Medium

CVSS2