CVE-2023-36808
GLPI vulnerable to SQL injection through Computer Virtual Machine information
En resumen
GLPI, un software gratuito de gestión de TI, tiene una falla en su formulario de Máquina Virtual de Computadora que permite a los atacantes inyectar comandos SQL maliciosos. Esto podría permitir que un atacante robe, modifique o elimine datos sensibles del sistema.
Detalle técnico
Vulnerabilidad de inyección SQL existe en el procesamiento del formulario de Máquina Virtual de Computadora en GLPI versiones 0.80 hasta 10.0.7, explotable a través de solicitudes de inventario sin sanitización adecuada de entrada. Un atacante con acceso para enviar información de VM puede ejecutar consultas SQL arbitrarias, comprometiendo potencialmente la integridad y confidencialidad de toda la base de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
GLPI is a free asset and IT management software package. Starting in version 0.80 and prior to version 10.0.8, Computer Virtual Machine form and GLPI inventory request can be used to perform a SQL injection attack. Version 10.0.8 has a patch for this issue. As a workaround, one may disable native inventory.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Productos afectados
glpi-project · glpi¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →