Vulnerabilidad en Barcode (CVE-2021-43778)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
24/11/2021
Última modificación:
08/09/2025
Descripción
Barcode es un plugin de GLPI para imprimir códigos de barras y códigos QR. Las instancias de GLPI versión 2.x anteriores a la versión 2.6.1 con el plugin de código de barras instalado son vulnerables a una vulnerabilidad de salto de ruta. Este problema ha sido corregido en la versión 2.6.1. Como solución, elimine el archivo "front/send.php"
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:glpi-project:barcode:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | 2.6.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/hansmach1ne/MyExploits/tree/main/Path%20Traversal%20in%20GLPI%20Barcode%20plugin
- https://github.com/pluginsGLPI/barcode/commit/428c3d9adfb446e8492b1c2b7affb3d34072ff46
- https://github.com/pluginsGLPI/barcode/releases/tag/2.6.1
- https://github.com/pluginsGLPI/barcode/security/advisories/GHSA-2pjh-h828-wcw9
- https://github.com/hansmach1ne/CVE-portfolio/tree/main/CVE-2021-43778
- https://github.com/hansmach1ne/MyExploits/tree/main/Path%20Traversal%20in%20GLPI%20Barcode%20plugin
- https://github.com/pluginsGLPI/barcode/commit/428c3d9adfb446e8492b1c2b7affb3d34072ff46
- https://github.com/pluginsGLPI/barcode/releases/tag/2.6.1
- https://github.com/pluginsGLPI/barcode/security/advisories/GHSA-2pjh-h828-wcw9