Fecha de publicación: 07/10/2022
Importancia:
Crítica
Recursos afectados:
GLPI, versiones anteriores a 9.5.9 o 10.0.3.
Descripción:
Se han identificados 2 vulnerabilidades de severidad crítica en GLPI, una de ellas en la librería de terceros HTMLAWED usada por GLPI, cuyas explotaciones podrían permitir a un atacante realizar inyección SQL y ejecución remota de código.
Solución:
Actualizar a las versiones:
Detalle:
- Un atacante podría simular un inicio de sesión a cualquier usuario que tenga un token de API definido, utilizando una inyección SQL en el proceso de autenticación. Se ha asignado el identificador CVE-2022-35947 para esta vulnerabilidad.
- La librería de terceros HTMLAWED, incluida en GLPI, contiene un archivo de prueba que puede utilizarse para realizar una ejecución remota de código no autenticada. Se tiene constancia de la explotación de esta vulnerabilidad desde principios de octubre. Se ha asignado el identificador CVE-2022-35914 para esta vulnerabilidad.
Etiquetas:
Actualización, Privacidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.