CVE-2022-39323
SQL Injection on REST API in GLPI
En resumen
GLPI tiene una vulnerabilidad de SQL Injection en su API REST en el parámetro user_token que permite ataques basados en tiempo para extraer datos sensibles. Esta falla autoriza a usuarios no autorizados a eludir la autenticación y acceder o modificar la base de datos del sistema.
Detalle técnico
Existe una vulnerabilidad de SQL Injection basada en tiempo en el mecanismo de autenticación user_token de la API REST de GLPI (CWE-89), permitiendo que atacantes remotos ejecuten consultas SQL arbitrarias sin autenticación. El ataque explota validación insuficiente de entrada en el endpoint de la API, posibilitando exfiltración de datos mediante canales de tiempo; corregido en la versión 10.0.4.
Resumen generado y traducido por IA a partir de la descripción oficial.
GLPI stands for Gestionnaire Libre de Parc Informatique. GLPI is a Free Asset and IT Management Software package that provides ITIL Service Desk features, licenses tracking and software auditing. Time based attack using a SQL injection in api REST user_token. This issue has been patched, please upgrade to version 10.0.4. As a workaround, disable login with user_token on API Rest.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Productos afectados
glpi-project · glpi¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →