漏洞信息详情
GLPI ‘unserialize()’函数远程PHP代码执行漏洞
- CNNVD编号:CNNVD-201307-036
- 危害等级: 高危
- CVE编号: CVE-2013-2225
- 漏洞类型: 代码注入
- 发布时间: 2013-06-27
- 威胁类型: 远程
- 更新时间: 2014-05-29
- 厂 商: glpi-project
- 漏洞来源: Xavier Mehrenberger
漏洞简介
GLPI是Indepnet协会维护的一款开源的IT资源管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。
GLPI 0.83.9及之前版本的inc/ticket.class.php脚本存在安全漏洞,该漏洞源于front/ticket.form.php脚本没有充分过滤‘_predefined_fields’参数。远程攻击者可利用该漏洞反序列化任意PHP对象。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.glpi-project.org/
参考网址
来源:forge.indepnet.net
链接:https://forge.indepnet.net/projects/glpi/repository/revisions/21169/diff
来源:MLIST
名称:[oss-security] 20130630 Re: CVE request for GLPI
链接:http://seclists.org/oss-sec/2013/q2/645
来源:MLIST
名称:[oss-security] 20130627 CVE request for GLPI
链接:http://seclists.org/oss-sec/2013/q2/626
来源:BID
名称:60823
链接:http://www.securityfocus.com/bid/60823
来源:OSVDB
名称:94683
链接:http://osvdb.org/94683
来源:EXPLOIT-DB
名称:26530
链接:http://www.exploit-db.com/exploits/26530
受影响实体
- Glpi-Project Glpi:0.80
- Glpi-Project Glpi:0.80.1
- Glpi-Project Glpi:0.80.2
- Glpi-Project Glpi:0.80.3
- Glpi-Project Glpi:0.80.4
补丁
- glpi-0.83.91
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论