Vulnerabilidades de Inyección SQL y acceso no autorizado a documentos en GLPI
GLPI versiones:
- desde la 10.0.0 hasta la 11.0.0;
- desde la 11.0.0 hasta la 11.0.3.
ArdNoir, Vainilla1ce17 y lem0naids han identificado 2 vulnerabilidades de severidad alta que podrían permitir a un atacante acceder a documentos de forma no autorizada o realizar inyección SQL.
Actualizar a las versiones parcheadas correspondientes:
- 10.0.21;
- 11.0.3.
GLPI es un software gratuito y de código abierto para la gestión de activos y servicios de TI que, en las versiones vulnerables, presentaba dos fallos de seguridad relevantes: por un lado, un usuario no autenticado, podía explotar una inyección SQL a través del endpoint de inventario, con riesgo de acceso o manipulación de la base de datos; y por otro, usuarios no autorizados e incluso anónimos, si está habilitada la FAQ pública, podían acceder a documentos adjuntos a tickets o activos, lo que podía provocar exposición de información sensible.
