Vulnerabilidad en usuario de la API con derecho READ en el tipo de elemento User en apirest.php/User en GLPI (CVE-2020-11033)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
05/05/2020
Última modificación:
07/11/2023
Descripción
En GLPI desde la versión 9.1 y versiones anteriores a 9.4.6, cualquier usuario de la API con derecho READ en el tipo de elemento User tendrá acceso a la lista completa de usuarios cuando consulte apirest.php/User. La respuesta contiene: - Todos los api_tokens los cuales pueden ser usados para escalar privilegios o leer/actualizar/eliminar datos que normalmente no son accesibles para el usuario actual. - Todos los tokens personales pueden mostrar la planificación de otros usuarios. La explotación de esta vulnerabilidad requiere que la API esté habilitada y una cuenta de técnico. Puede ser mitigada al agregar un token de aplicación. Esto es corregido en la versión 9.4.6.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:* | 9.1 (incluyendo) | 9.4.6 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/glpi-project/glpi/security/advisories/GHSA-rf54-3r4w-4h55
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5WQMONZRWLWOXMHMYWR7A5Q5JJERPMVC/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Q4BG2UTINBVV7MTJRXKBQ26GV2UINA6L/