漏洞信息详情
GLPI inc/central.class.php脚本跨站请求伪造漏洞
- CNNVD编号:CNNVD-201309-389
- 危害等级: 中危
- CVE编号: CVE-2013-5696
- 漏洞类型: 跨站请求伪造
- 发布时间: 2013-09-24
- 威胁类型: 远程
- 更新时间: 2013-09-24
- 厂 商: glpi-project
- 漏洞来源:
漏洞简介
GLPI是Indepnet协会维护的一款开源的IT资源管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。
GLPI 0.84.1及之前的版本中的inc/central.class.php脚本中存在SQL注入漏洞和PHP代码执行漏洞,程序在安装完成后‘install/install.php’文件可再次被执行。远程攻击者可利用这些漏洞进行跨站请求伪造攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.glpi-project.org/spip.php?page=annonce&id_breve=308
参考网址
来源: forge.indepnet.net
链接:https://forge.indepnet.net/projects/glpi/repository/revisions/21753/diff/branches/0.84-bugfixes/inc/central.class.php
来源: forge.indepnet.net
链接:https://forge.indepnet.net/projects/glpi/repository/revisions/21753
来源: www.glpi-project.org
链接:http://www.glpi-project.org/spip.php?page=annonce&id_breve=308
来源: www.navixia.com
链接:https://www.navixia.com/blog/entry/navixia-finds-critical-vulnerabilities-in-glpi-cve-2013-5696.HTML
来源: forge.indepnet.net
链接:https://forge.indepnet.net/issues/4480
受影响实体
- Glpi-Project Glpi:0.20
- Glpi-Project Glpi:0.21
- Glpi-Project Glpi:0.30
- Glpi-Project Glpi:0.42
- Glpi-Project Glpi:0.41
补丁
暂无
评论