CVE-2023-41323
Users login enumeration by unauthenticated user in GLPI
En resumen
Un atacante sin cuenta en GLPI puede descubrir nombres de usuario válidos aprovechando cómo el sistema responde a los intentos de inicio de sesión, información que puede usarse posteriormente para adivinar contraseñas.
Detalle técnico
Vulnerabilidad de enumeración de usuarios sin autenticación en GLPI que permite a atacantes identificar nombres de usuario válidos mediante análisis de respuestas o diferencias de comportamiento del sistema. Esta divulgación de información (CWE-200) facilita ataques posteriores de fuerza bruta contra credenciales.
Resumen generado y traducido por IA a partir de la descripción oficial.
GLPI stands for Gestionnaire Libre de Parc Informatique is a Free Asset and IT Management Software package, that provides ITIL Service Desk features, licenses tracking and software auditing. An unauthenticated user can enumerate users logins. Users are advised to upgrade to version 10.0.10. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Productos afectados
glpi-project · glpi¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →