ГлавнаяБаза уязвимостей БДУ → BDU:2023-03381
8.5высокая

BDU:2023-03381 (CVE-2023-28855)

Уязвимость системы работы с заявками и инцидентами GLPI, связанная с неправильным управлением привилегиями, позволяющая нарушителю повышать привилегии внутри приложения
Опубликовано: 2023-06-26
Описание

Уязвимость системы работы с заявками и инцидентами GLPI связана с неправильным управлением привилегиями, аутентифицированный пользователь может изменять адреса электронной почты любого другого пользователя приложения, включая адрес электронной почты администратора. Эксплуатация уязвимости может позволить нарушителю использовать для захвата произвольной учетной записи с помощью функции «забытый пароль» и восстановления пароля на измененный адрес электронной почты

Затрагиваемое ПО и версии
РЕД ОС (7.3)GLPI (до 9.5.13)GLPI (до 10.0.7)
Способ устранения

Использование рекомендаций:

Для GLPI:
https://github.com/glpi-project/glpi/releases/tag/10.0.7
https://github.com/glpi-project/glpi/releases/tag/9.5.13

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://github.com/glpi-project/glpi/releases/tag/10.0.7https://github.com/glpi-project/glpi/releases/tag/9.5.13https://github.com/glpi-project/glpi/security/advisories/GHSA-7pwm-pg76-3q9xhttps://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-glpi-cve-2023-28855-cve-2023-28852-cve-2023-28849-cve-2023-28838-cve-2023/
Проверьте безопасность своего сайта и почты → Полная проверка домена