Уязвимость системы работы с заявками и инцидентами GLPI связана с отсутствием авторизации, позволяющей пользователю с профилем «Технический специалист» просматривать и генерировать личный токен для суперадминистратора. Эксплуатация уязвимости может позволить нарушителю договориться о сеансе GLPI и захватить учетную запись суперадминистратора.
Использование рекомендаций:
Для GLPI:
https://github.com/glpi-project/glpi/releases/tag/10.0.7
https://github.com/glpi-project/glpi/releases/tag/9.5.13
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 9 — высокая опасность |