Se ha reportado un nuevo aviso de múltiples vulnerabilidades que afectan al software GLPI de Synology, que permitirían a un atacante obtener información confidencial, inyectar comandos SQL, entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 4 (cuatro) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-35947, de severidad crítica y con puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de la interfaz de programación de aplicaciones (API). Un atacante podría realizar inyección SQL e iniciar sesión con un usuario arbitrario en el sistema afectado.
- CVE-2022-35946, de severidad media y con puntuación asignada de 6.5. Esta vulnerabilidad se debe a una falla en el controlador de complementos de la API. Esto permitiría a un atacante obtener permisos de actualización de «Configuración general» y alterar la base de datos del sistema.
- CVE-2022-35945, de severidad media y con puntuación asignada de 6.1. Esta vulnerabilidad se debe a una falla en la página de configuración de claves de registro. Un atacante podría aprovechar esta situación para robar la cookie del administrador GLPI y así realizar acciones no autorizadas en el sistema.
Puede acceder al listado completo de vulnerabilidades aquí
Versión afectada del software GLPI de Synology:
- Versiones previas a 10.0.3-0146.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Los usuarios que no puedan actualizar deben deshabilitar la configuración de la API, acorde a la documentación oficial.
Referencias:
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/multiples-vulnerabilidades-glpi-synology
- https://nvd.nist.gov/vuln/detail/CVE-2022-35947
- https://nvd.nist.gov/vuln/detail/CVE-2022-35946
- https://nvd.nist.gov/vuln/detail/CVE-2022-35945
- https://www.synology.com/en-us/security/advisory/Synology_SA_22_15
- https://account.synology.com/support