W systemie GLPI (wolne oprogramowanie do zarządzania zasobami IT) w wersjach od 11.0.0 do przed 11.0.6 istnieje podatność na wstrzyknięcie szablonu (template injection), która pozwala administratorowi na zdalne wykonanie kodu (RCE). Mimo że atak wymaga uprawnień administratora, zasięg podatności wykracza poza system bazowy (Scope: Changed), co czyni ją krytyczną.
▸ Pokaż oryginał (EN)
GLPI is a free asset and IT management software package. From 11.0.0 to before 11.0.6, template injection by an administrator lead to RCE. This vulnerability is fixed in 11.0.6.
Podatność sklasyfikowana jako CWE-94 (Code Injection) oraz CWE-1336 (Improper Neutralization of Special Elements Used in a Template Engine) polega na tym, że mechanizm szablonów w GLPI nie neutralizuje prawidłowo złośliwych danych wejściowych dostarczanych przez administratora. Atakujący z uprawnieniami administracyjnymi może wstrzyknąć specjalnie spreparowane wyrażenia do silnika szablonów, które zostaną wykonane po stronie serwera jako kod. Prowadzi to do pełnego, zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację.
Atakujący może uzyskać pełną kontrolę nad serwerem — odczytać, zmodyfikować lub usunąć dane, uruchomić dowolny kod oraz potencjalnie poruszyć się lateralnie (lateral movement) w sieci wewnętrznej. Ze względu na wysoki wpływ na poufność, integralność i dostępność (C:H/I:H/A:H) oraz zmieniony zasięg (S:C), konsekwencje mogą wykraczać poza samą instancję GLPI.
Należy pilnie zaktualizować GLPI do wersji 11.0.6, w której podatność została naprawiona. Jeśli aktualizacja nie jest natychmiast możliwa, zaleca się ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych sieci oraz zastosowanie dodatkowych mechanizmów kontroli dostępu (np. VPN, firewall).
GLPI w wersjach od 11.0.0 do 11.0.5 (przed 11.0.6) projektu Glpi-Project.
Podatność dotyczy wyłącznie kont z uprawnieniami administratora (PR:H), co ogranicza powierzchnię ataku, jednak nie zmniejsza krytyczności skutków w przypadku przejęcia lub nadużycia konta administracyjnego. Szczegóły techniczne dostępne w GitHub Security Advisory: GHSA-2c98-648q-h27h.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HGlpi Project Glpi
APPGlpi-Project11.0.0 – 11.0.6 (bez)
Powiązane podatności
/vendor/htmlawed/htmlawed/htmLawedTest.php in the htmlawed module for GLPI through 10.0.2 allows PHP code inje...
GLPI: Kradzież sesji przez nieuauthoryzowany dostęp do identyfikatorów sesji
GLPI is a free asset and IT management software package. Starting in version 10.0.7 and prior to version 10.0....
GLPI is a free asset and IT management software package. Starting in version 0.50 and prior to versions 9.5.13...
GLPI is a free asset and IT management software package. Starting in version 10.0.0 and prior to version 10.0....