Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en GLPI

Fecha de publicación 07/10/2022
Identificador

INCIBE-2022-0956

Importancia
5 - Crítica
Recursos Afectados

GLPI, versiones anteriores a 9.5.9 o 10.0.3.

Descripción

Se han identificados 2 vulnerabilidades de severidad crítica en GLPI, una de ellas en la librería de terceros HTMLAWED usada por GLPI, cuyas explotaciones podrían permitir a un atacante realizar inyección SQL y ejecución remota de código.

Solución

Actualizar a las versiones:

Detalle
  • Un atacante podría simular un inicio de sesión a cualquier usuario que tenga un token de API definido, utilizando una inyección SQL en el proceso de autenticación. Se ha asignado el identificador CVE-2022-35947 para esta vulnerabilidad.
  • La librería de terceros HTMLAWED, incluida en GLPI, contiene un archivo de prueba que puede utilizarse para realizar una ejecución remota de código no autenticada. Se tiene constancia de la explotación de esta vulnerabilidad desde principios de octubre. Se ha asignado el identificador CVE-2022-35914 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Important message about security (CVE-2022-35947, CVE-2022-35914)!
Authentication via SQL injection
Command injection using a third-party library script
GLPI htmlawed (CVE-2022-35914)
CVE-2022-35914 PoC
CVE-2022-35914-GUI
Etiquetas