漏洞信息详情
GLPI SQL注入漏洞
- CNNVD编号:CNNVD-201306-447
- 危害等级: 中危
- CVE编号: CVE-2013-2226
- 漏洞类型: SQL注入
- 发布时间: 2013-06-20
- 威胁类型: 远程
- 更新时间: 2014-05-16
- 厂 商: glpi-project
- 漏洞来源: Humberto Cabrera
漏洞简介
GLPI是Indepnet协会维护的一款开源的IT资源管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。
GLPI 0.83.8及之前的版本存在SQL注入漏洞,该漏洞源于ajax/ticketassigninformation.php脚本没有充分过滤‘users_id_assign’参数;front/document.form.php脚本没有充分过滤‘filename’参数;ajax/comments.php脚本没有充分过滤‘table’参数。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.glpi-project.org/spip.php?page=annonce&id_breve=297&lang=en&debut_autres_breves=
参考网址
来源:www.glpi-project.org
链接:http://www.glpi-project.org/spip.php?page=annonce&id_breve=297&lang=en&debut_autres_breves=
来源:www.zeroscience.mk
链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2013-5146.php
来源:BID
名称:60693
链接:http://www.securityfocus.com/bid/60693
受影响实体
- Glpi-Project Glpi:0.83.8
- Glpi-Project Glpi:0.83.7
- Glpi-Project Glpi:0.83.6
- Glpi-Project Glpi:0.83.5
- Glpi-Project Glpi:0.83.4
补丁
- glpi-0.83.9
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论