ГлавнаяБаза уязвимостей БДУ → BDU:2023-03382
2.1средняя

BDU:2023-03382 (CVE-2023-28855)

Уязвимость системы работы с заявками и инцидентами GLPI, связанная с подделкой запроса на стороне сервера, позволяющая нарушителю выполнять SSRF-атаки
Опубликовано: 2023-06-26
Описание

Уязвимость системы работы с заявками и инцидентами GLPI связана с недостаточной проверкой введенных пользователем данных в функции автообнаружения RSS, пользователь может отправить специально созданный HTTP-запрос и обмануть приложение, чтобы оно инициировало запросы к произвольным системам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, расположенным в локальной сети, или отправить вредоносные запросы на другие серверы из уязвимой системы

Затрагиваемое ПО и версии
РЕД ОС (7.3)GLPI (до 9.5.13)GLPI (до 10.0.7)
Способ устранения

Использование рекомендаций:

Для GLPI:
https://github.com/glpi-project/glpi/releases/tag/10.0.7
https://github.com/glpi-project/glpi/releases/tag/9.5.13

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл2.1 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-glpi-cve-2023-28855-cve-2023-28852-cve-2023-28849-cve-2023-28838-cve-2023/https://github.com/glpi-project/glpi/releases/tag/10.0.7https://github.com/glpi-project/glpi/releases/tag/9.5.13https://github.com/glpi-project/glpi/security/advisories/GHSA-4279-rxmh-gf39https://vuldb.com/ru/?id.225088
Проверьте безопасность своего сайта и почты → Полная проверка домена