Fecha de publicaciĂłn: 07/10/2022
Importancia:
CrĂtica
Recursos afectados:
GLPI, versiones anteriores a 9.5.9 o 10.0.3.
DescripciĂłn:
Se han identificados 2 vulnerabilidades de severidad crĂtica en GLPI, una de ellas en la librerĂa de terceros HTMLAWED usada por GLPI, cuyas explotaciones podrĂan permitir a un atacante realizar inyecciĂłn SQL y ejecuciĂłn remota de cĂłdigo.
SoluciĂłn:
Actualizar a las versiones:
Detalle:
- Un atacante podrĂa simular un inicio de sesiĂłn a cualquier usuario que tenga un token de API definido, utilizando una inyecciĂłn SQL en el proceso de autenticaciĂłn. Se ha asignado el identificador CVE-2022-35947 para esta vulnerabilidad.
- La librerĂa de terceros HTMLAWED, incluida en GLPI, contiene un archivo de prueba que puede utilizarse para realizar una ejecuciĂłn remota de cĂłdigo no autenticada. Se tiene constancia de la explotaciĂłn de esta vulnerabilidad desde principios de octubre. Se ha asignado el identificador CVE-2022-35914 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Privacidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.