GLPI - CVE-2022-39323

Date de publication : 04/11/2022

La REST API de GLPI est vulnérable à une injection SQL à partir du paramètre "user_token", ce qui permet à un attaquant d’exécuter du code arbitraire à distance.

CVE-2022-39323

[Score CVSS v3.1: 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire à distance.

Exploitation

La vulnérabilité exploitée est du type

CWE-89: Improper Neutralization of Special Elements used in an SQL Command

Détails sur l’exploitation

Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

GLPI

versions antérieures à 10.4

Contournement provisoire

désactivation de la connexion à l’API Rest avec le user_token.

Solutions ou recommandations

Mettre à jour GLPI à la version 10.4.

Liens

GHSA-cp6q-9p4x-8hr9