Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en GLPI (CVE-2021-21327)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/03/2021
Última modificación:
26/06/2023

Descripción

GLPI es un paquete de software de gestión de activos y TI de código abierto que proporciona funcionalidades de ITIL Service Desk, seguimiento de licencias y auditoría de software. En GLPI versiones anteriores a 9.5.4, el usuario no autenticado puede instanciar de forma remota un objeto de cualquier clase existente en el entorno GLPI que puede ser usado para llevar a cabo ataques maliciosos o para iniciar una “POP chain”. Como ejemplo de impacto directo, esta vulnerabilidad afecta la integridad de la plataforma central de GLPI y las clases de uso inapropiado del tiempo de ejecución de plugins de terceros que implementan algunas operaciones sensibles en sus constructores o destructores. Esto es corregido en la versión 9.5.4

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:* 9.5.4 (excluyendo)