您好!
永信至诚报送1个漏洞预警Glpi-project Glpi会话过期漏洞-CVE-2022-39234(CNNVD-202211-2002)。
1、产品描述
GLPI是Gestionnaire Libre de Parc Informatique的缩写。GLPI是一个免费的资产和IT管理软件包,提供ITIL服务台功能、许可证跟踪和软件审计。
2、影响产品或组件及版本
glpi (glpi-project)<10.0.4
3、受影响资产情况
通过资产测绘系统发现,第一名法国,第二名美国,第三名巴西。
4、危害等级
严重
5、技术细节表述
被删除/停用的用户可以继续使用他们的账户,只要其cookie有效。就可以继续登录到账户。Cookie 是用户对于特定网站的身份验证标志,XSS 可以盗取用户的 Cookie,就可以获取到用户对网站的操作权限,从而查看用户隐私信息。这个问题已经打了补丁,请升级到10.0.4版本。
6、修补措施
官方已经发布安全补丁,请受影响的用户尽快升级安装:https://github.com/glpi-project/glpi/security/advisories/GHSA-pgcx-mc58-3gmg
7、漏洞来源
https://nvd.nist.gov/vuln/detail/CVE-2022-39234
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论