Se han reportado múltiples vulnerabilidades que afectan a GLPI, que permitirían a un atacante realizar ataques cross-site scripting (XSS), server-side request forgery (SSRF), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 1 (una) de severidad de “Alta”, y 9 (nueve) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-39323, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de verificación de entradas en la API REST user_token, cuando este se encuentre habilitado para el inicio de sesión. Esto permitiría a un atacante realizar inyección SQL.
- CVE-2022-39234, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de gestión de identificadores de sesión en GLPI en la función ITIL Service Desk. Esto permitiría a un atacante con acceso a un identificador de sesión válido de una cuenta eliminada/deshabilitada, realizar acciones no autorizadas en el sistema afectado.
- CVE-2022-39376, de severidad “Media”, con una puntuación asignada de 6.5. Esta vulnerabilidad se debe a la validación incorrecta de entradas en enlaces de mensajes de correo electrónico “mailto”. Esto permitiría a un atacante ingresar campos personalizados en los enlaces “mailto” dentro de la web afectada.
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Las versiones afectadas son:
- GLPI, versiones anteriores a 9.5.10.
- GLPI, versiones anteriores a 10.0.4.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
- https://github.com/glpi-project/glpi/releases/download/10.0.5/glpi-10.0.5.tgz
- https://github.com/glpi-project/glpi/releases/download/9.5.11/glpi-9.5.11.tgz
Referencias:
- https://glpi-project.org/?lang=en
- https://github.com/glpi-project/glpi/security/advisories/GHSA-cp6q-9p4x-8hr9
- https://github.com/glpi-project/glpi/security/advisories/GHSA-pgcx-mc58-3gmg
- https://github.com/glpi-project/glpi/security/advisories/GHSA-6rh5-m5g7-327w
- https://nvd.nist.gov/vuln/detail/CVE-2022-39323
- https://nvd.nist.gov/vuln/detail/CVE-2022-39234
- https://nvd.nist.gov/vuln/detail/CVE-2022-39376
- https://github.com/glpi-project/glpi/releases/download/10.0.5/glpi-10.0.5.tgz
- https://github.com/glpi-project/glpi/releases/download/9.5.11/glpi-9.5.11.tgz