Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en GLPI (CVE-2024-28240)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
25/04/2024
Última modificación:
25/04/2024

Descripción

El Agente GLPI es un agente de gestión genérico. Una vulnerabilidad que solo afecta al GLPI-Agent instalado en Windows a través del paquete MSI puede permitir que un usuario local provoque la denegación del servicio del agente reemplazando la URL del servidor GLPI con una URL incorrecta o deshabilitando el servicio. Además, en el caso de que se instale la tarea de implementación, un usuario malicioso local puede desencadenar una escalada de privilegios configurando un servidor malicioso que proporcione su propio payload de la tarea de implementación. GLPI-Agent 1.7.2 contiene un parche para este problema. Como workaround, edite la clave relacionada con GLPI-Agent en `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` y agregue el valor DWORD `SystemComponent` configurándolo en `1` para ocultar GLPI-Agent de las aplicaciones instaladas.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.30
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información