ГлавнаяБаза уязвимостей БДУ → BDU:2023-03386
9.4критическая

BDU:2023-03386 (CVE-2023-28855)

Уязвимость системы работы с заявками и инцидентами GLPI, связанная с неправильной нейтрализацией входных данных во время генерации веб-страницы и неправильной нейтрализацией специальных элементов, используемых в команде SQL, позволяющая нарушителю выполнять произвольные SQL-запросы в базе данных
Опубликовано: 2023-06-26
Описание

Уязвимость системы работы с заявками и инцидентами GLPI связана с недостаточной очисткой пользовательских данных в конечной точке инвентаризации GLPI, пользователь, не прошедший проверку подлинности, может отправить специально созданный запрос уязвимому приложению и выполнить произвольные команды SQL в базе данных приложения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать, удалять, изменять данные в базе данных и получать полный контроль над уязвимым приложением

Затрагиваемое ПО и версии
РЕД ОС (7.3)GLPI (до 10.0.7)
Способ устранения

Использование рекомендаций:

Для GLPI:
https://github.com/glpi-project/glpi/releases/tag/10.0.7

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/glpi-project/glpi/releases/tag/10.0.7https://github.com/glpi-project/glpi/security/advisories/GHSA-9r84-jpg3-h4m6https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-glpi-cve-2023-28855-cve-2023-28852-cve-2023-28849-cve-2023-28838-cve-2023/https://vuldb.com/ru/?id.225103https://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена