您好！

永信至诚报送1个漏洞预警Glpi-project Glpi会话过期漏洞-CVE-2022-39234（CNNVD-202211-2002）。

1、产品描述

GLPI是Gestionnaire Libre de Parc Informatique的缩写。GLPI是一个免费的资产和IT管理软件包，提供ITIL服务台功能、许可证跟踪和软件审计。

2、影响产品或组件及版本

glpi (glpi-project)<10.0.4

3、受影响资产情况

通过资产测绘系统发现，第一名法国，第二名美国，第三名巴西。

4、危害等级

严重

5、技术细节表述

被删除/停用的用户可以继续使用他们的账户，只要其cookie有效。就可以继续登录到账户。Cookie 是用户对于特定网站的身份验证标志，XSS 可以盗取用户的 Cookie，就可以获取到用户对网站的操作权限，从而查看用户隐私信息。这个问题已经打了补丁，请升级到10.0.4版本。

6、修补措施

官方已经发布安全补丁，请受影响的用户尽快升级安装：https://github.com/glpi-project/glpi/security/advisories/GHSA-pgcx-mc58-3gmg

7、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-39234