Nuevas Vulnerabilidades en GLPI

INTRODUCCIÓN

Múltiples vulnerabilidades permiten a atacantes remotos o a usuarios remotos autentificados obtener información sensible, inyectar scripts web, HTML arbitrarios o comandos SQL en versiones vulnerables de GLPI.

ANÁLISIS

Se han resuelto las siguientes vulnerabilidades:
CVE-2022-35947: Se ha descubierto que las versiones afectadas son vulnerables a un ataque de inyección SQL en el que un atacante podría aprovechar para simular un inicio de sesión de usuario arbitrario.

CVE-2022-31187: Se ha descubierto que las versiones afectadas no neutralizan correctamente las etiquetas HTML a la hora re realizar una búsqueda global.

CVE-2022-35945: La información asociada a la clave de registro no se limpia correctamente en la página de configuración de la clave de registro. Pueden utilizarse para robar una cookie de administrador de GLPI.

Versiones afectadas:
- Todas las versiones de GLPI hasta la 10.0.2.

RECOMENDACIONES:

Actualizar a la versión 10.0.3
Los usuarios que no puedan actualizar el software deberán desactivar la configuración de la API Habilitar el inicio de sesión con token externo (CVE-2022-35947).
Los usuarios que no puedan actualizar el software deben desactivar la búsqueda global (CVE-2022-31187).

REFERENCIAS:

https://www.synology.com/en-us/security/advisory/Synology_SA_22_15
https://nvd.nist.gov/vuln/detail/CVE-2022-35947
https://nvd.nist.gov/vuln/detail/CVE-2022-31187