Múltiples vulnerabilidades detectadas en GLPI 

04/11/2022 Noticias 0

Se han reportado múltiples vulnerabilidades que afectan a GLPI, que permitirían a un atacante realizar ataques cross-site scripting (XSS), server-side request forgery (SSRF), entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 1 (una) de severidad de “Alta”, y 9 (nueve) de severidad “Media”. Las principales se detallan a continuación: 

  • CVE-2022-39323, de severidad “Crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de verificación de entradas en la API REST user_token, cuando este se encuentre habilitado para el inicio de sesión. Esto permitiría a un atacante realizar inyección SQL. 
  • CVE-2022-39234, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de gestión de identificadores de sesión en GLPI en la función ITIL Service Desk. Esto permitiría a un atacante con acceso a un identificador de sesión válido de una cuenta eliminada/deshabilitada, realizar acciones no autorizadas en el sistema afectado.  
  • CVE-2022-39376, de severidad “Media”, con una puntuación asignada de 6.5. Esta vulnerabilidad se debe a la validación incorrecta de entradas en enlaces de mensajes de correo electrónico “mailto”. Esto permitiría a un atacante ingresar campos personalizados en los enlaces “mailto” dentro de la web afectada. 

Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.  

Las versiones afectadas son:  

  • GLPI, versiones anteriores a 9.5.10. 
  • GLPI, versiones anteriores a 10.0.4. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:  

Referencias:     

Compartir: