Vulnerabilidad en la entrada de peticiones en GLPI (CVE-2022-35946)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

14/09/2022

Última modificación:

19/09/2022

Descripción

GLPI son las siglas de Gestionnaire Libre de Parc Informatique y es un paquete de software de administración de activos y TI gratuito, que proporciona funciones de Service Desk de ITIL, seguimiento de licencias y auditoría de software. En las versiones afectadas, la entrada de peticiones no es comprobada apropiadamente en el controlador del plugin y puede usarse para acceder a la API de bajo nivel de la clase del plugin. Un atacante puede, por ejemplo, alterar los datos de la base de datos. El atacante debe tener derechos de actualización "General setup" para poder llevar a cabo este ataque. Es recomendado a usuarios actualizar a versión 10.0.3. Los usuarios que no puedan actualizar deberán eliminar el script "front/plugin.form"

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno