2017-1221: GLPi: Mehrere Schwachstellen ermöglichen SQL-Injektionen und das Löschen beliebiger Dateien

Historie:

Version 1 (2017-07-14 18:25): Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
UNIX

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer kann mehrere Schwachstellen in GLPi 9.1.4 ausnutzen, um beliebigen SQL-Programmcode zu injizieren. Durch eine weitere Schwachstelle kann der Angreifer beliebige Dateien auf dem System löschen.

Der Hersteller stellt GLPi 9.1.5 als Sicherheitsupdate zur Verfügung.

Für Fedora 25 und 26 stehen Sicherheitsupdates auf diese Version im Status 'pending' bereit.

Schwachstellen:

CVE-2017-11183

Schwachstelle in GLPi ermöglicht Manipulation von Dateien

CVE-2017-11184

Schwachstelle in GLPi ermöglicht SQL-Injektion

GLPI-GH-ISSUE-2451

Schwachstelle in GLPi ermöglicht SQL-Injektion

GLPI-GH-ISSUE-2456

Schwachstelle in GLPi ermöglicht SQL-Injektion

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.

DFN-CERT

Advisory-Archiv

2017-1221: GLPi: Mehrere Schwachstellen ermöglichen SQL-Injektionen und das Löschen beliebiger Dateien

Historie:

Betroffene Software

Betroffene Plattformen

Beschreibung:

Schwachstellen:

CVE-2017-11183

CVE-2017-11184

GLPI-GH-ISSUE-2451

GLPI-GH-ISSUE-2456