2017-1281: GLPi: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen SQL-Programmcodes und einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2017-07-25 18:56)
- Neues Advisory
Betroffene Software
Netzwerk
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in GLPi ermöglichen einem entfernten, nicht authentisierten Angreifer via SQL-Injektion die Ausführung beliebigen SQL-Programmcodes und einen Cross-Site-Scripting-Angriff.
Der Hersteller veröffentlicht GLPi 9.1.6 als Sicherheitsupdate zur Behebung der Schwachstellen, mit dem zusätzlich auch eine Regression im 'Self Service Portal' behoben wird.
Für Fedora 25 und 26 steht GLPi in der Version 9.1.6 als Sicherheitsupdate im Status 'pending' bereit.
Schwachstellen:
CVE-2017-11474
Schwachstelle in GLPi ermöglicht SQL-InjektionCVE-2017-11475
Schwachstelle in GLPi ermöglicht SQL-InjektionGLPI-9-1-6-A
Schwachstelle in GLPi ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.