← volver
CVE-2022-35914

CVE-2022-35914

CVSS 9.8 CRITICALEPSS 99.5%● KEVCWE-74
En resumen

Un archivo de prueba dejado en el módulo htmlawed de GLPI permite que atacantes inyecten y ejecuten código PHP arbitrario en el servidor. Esta es una vulnerabilidad crítica que da a los atacantes control total del sistema.

Detalle técnico

El archivo htmLawedTest.php en el módulo vendor htmlawed es públicamente accesible y acepta entrada no confiable que se evalúa como código PHP (CWE-74: Neutralización Inadecuada de Elementos Especiales en la Salida). Los atacantes remotos pueden lograr ejecución remota de código no autenticada en GLPI versiones hasta 10.0.2, resultando en compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
/vendor/htmlawed/htmlawed/htmLawedTest.php in the htmlawed module for GLPI through 10.0.2 allows PHP code injection.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas10
githubgithub.com/cosad3s/CVE-2022-35914-poc51githubgithub.com/senderend/CVE-2022-359144githubgithub.com/0xGabe/CVE-2022-359142githubgithub.com/noxlumens/CVE-2022-35914_poc2githubgithub.com/Lzer0Kx01/CVE-2022-359142githubgithub.com/6E6L6F/CVE-2022-359141githubgithub.com/Johnermac/CVE-2022-359140githubgithub.com/btar1gan/exploit_CVE-2022-359140exploitdbwww.exploit-db.com/exploits/52023no verificadocve_referencepacketstormsecurity.com/files/169501/GLPI-10.0.2-Command-Injection.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/169501/GLPI-10.0.2-Command-Injection.htmlhttps://github.com/glpi-project/glpi/releaseshttps://github.com/Orange-Cyberdefense/CVE-repository/https://github.com/Orange-Cyberdefense/CVE-repository/blob/master/PoCs/POC_2022-35914.shhttps://glpi-project.org/fr/glpi-10-0-3-disponible/https://mayfly277.github.io/posts/GLPI-htmlawed-CVE-2022-35914/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-35914http://www.bioinformatics.org/phplabware/sourceer/sourceer.php?&Sfs=htmLawedTest.php&Sl=.%2Finternal_utilities%2FhtmLawed