CVE-2022-29250

ALT: (8.1)

CVSS3: 7.1

Glpi és vulnerable a la injecció SQL. Un atacant remot autenticat podria enviar declaracions SQL especialment elaborades a les pàgines de cerca, cosa que podria permetre a l’atacant veure, afegir, modificar o eliminar informació a la base de dades de fons.

Sistemes Afectats

• GLPI GLPI 9.4.0
• GLPI GLPI 9.3.3
• GLPI GLPI 9.3.1
• GLPI GLPI 9.4.2
• GLPI GLPI 9.4.3
• GLPI GLPI 9.4.5
• GLPI GLPI 9.5.0
• GLPI GLPI 9.4.0
• GLPI GLPI 9.5.3
• GLPI GLPI 9.5.4
• GLPI GLPI 9.5.5
• GLPI GLPI 9.5.6
• GLPI GLPI 0.90
• GLPI GLPI 9.5.7

Remediació
Actualitzeu a l’última versió de GLPI (10.0.1 o posterior), disponible des del lloc web glpi.

Referències

• https://github.com/glpi-project/glpi/security/advisories/GHSA-5w33-4wrx-8hvw
• https://glpi-project.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29250