GLPI服务台软件存在CVE-2024-50339等多个严重漏洞

GLPI提供功能全面IT资源管理接口，用于建立数据库全面管理IT电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。

GLPI是先进的服务台和ITSM软件，帮用户控制和有效管理公司IT基础设施，这款开源IT和资产管理软件主要用于管理和跟踪公司IT资产。

一、基本情况

GLPI服务台软件符合最新的ITIL标准，有助于库存和资产管理服务，确保对数据的质量控制，并有一套集成系统来获得软件的最大效益。

GLPI可以帮助用户建立精确的资产清单，部署公司开发的应用程序，管理资产，包括计算机、打印机、网络设备等，提供全面管理功能。

栋科技漏洞库关注到GLPI修复多个漏洞，分别追踪为：CVE-2024-50339、CVE-2024-40638、CVE-2024-43416、CVE-2024-47758等。

漏洞还有：CVE-2024-47761、CVE-2024-47760、CVE-2024-48912、CVE-2024-45608、CVE-2024-41679、CVE-2024-45611；

漏洞还有：CVE-2024-47759、CVE-2024-43417，CVE-2024-43418，CVE-2024-45609，CVE-2024-45610，CVE-2024-41678。

二、 漏洞分析

CVE-2024-50339

CVE-2024-50339是GLPI中的未经验证的会话劫持漏洞，允许未经身份验证的攻击者检索所有会话 ID 并且使用它们来冒充任何登录用户。

该漏洞的CVSS评分为9.3，表明其严重程度非常严重，意味着攻击者甚至不需要有效的凭据即可访问敏感数据并代表合法用户执行操作。

CVE-2024-48912

CVE-2024-48912是GLPI中的通过验证的用户删除不安全的帐户漏洞，允许经过身份验证的用户可使用应用程序端点删除任何用户帐户。

该漏洞的CVSS评分为7.2，漏洞具体危害，简而言之是允许任何经过身份验证的用户（即使权限有限）删除GLPI 系统内的任何用户帐户。

这意味着，该漏洞的存在可能会被恶意内部人员或受损帐户利用来中断操作、删除关键帐户或在其他恶意活动后掩盖其踪迹，需要谨慎。

CVE-2024-47760

CVE-2024-48912是GLPI中的通过 API 进行帐户接管的漏洞，该漏洞CVSS为7.5，能够访问API的技术人员可以控制具有更高权限的账户。

该漏洞的存在，允许有权访问 GLPI API 的技术人员可以利用此该漏洞来升级自己的权限并控制具有更高权限的帐户，可能包括管理帐户。

CVE-2024-47761

CVE-2024-47761是GLPI中的通过密码重置功能接管帐户漏洞，漏洞CVSS为7.5，通过密码重置进行帐户接管，漏洞针对密码重置功能。

漏洞允许有权访问已发送通知内容（例如，电子邮件服务器访问权限）的管理员利用控制其他用户帐户，包括具有更高权限的用户帐户。

CVE-2024-47759

CVE-2024-47759是GLPI中的通过文件上传存储的XSS的漏洞，该漏洞的CVSS评分为6.7，技术人员可以上传包含恶意脚本的SVG文件。

该漏洞允许技术人员可以上传包含恶意脚本的SVG，当任何用户试图查看文档内容时，就会执行该脚本，建议受影响用户尽快更新版本。

CVE-2024-47758

CVE-2024-47758是GLPI中的可以通过API进行无权限升级的帐户接管的漏洞，该漏洞的CVSS评分为7.8，漏洞危害性相对来说较为严重。

该漏洞允许经过身份验证的用户可以使用API控制具有相同或较低权限级别的任何用户，因此建议相关受影响用户尽快更新版本修复漏洞。

CVE-2024-45611

CVE-2024-45611是GLPI中的在RSS源中存储XSS的漏洞，GLPI 在 src/RSSFeed.php 处存在的存储型 XSS，该漏洞的CVSS评分为5.4。

经过身份验证用户可绕过访问控制策略，创建附加到其他用户帐户的私人RSS馈源，并使用恶意负载触发存储的跨站脚本攻击（XSS）。

CVE-2024-45608

CVE-2024-45608是GLPI中经过身份验证的SQL注入漏洞，该漏洞允许经过身份验证的用户可通过更改其偏好设置来执行SQL注入攻击。

CVE-2024-43416

CVE-2024-43416是GLPI中未经验证的用户的用户电子邮件枚举的漏洞，使容易受到未经身份验证的用户枚举用户电子邮件地址的影响。

该漏洞的CVSS评分为7.5，该漏洞可以允许未经身份验证的用户可以使用应用程序端点来检查电子邮件地址是否对应于有效的GLPI用户。

CVE-2024-41679

CVE-2024-41679是票据形式的认证SQL注入漏洞，该漏洞的CVSS评分为8.8，经过身份验证的用户可以利用票务表单中的SQL注入漏洞。

CVE-2024-40638

CVE-2024-40638是GLPI中通过SQL注入接管账户的漏洞，该漏洞的CVSS评分为8.8，该漏洞是允许经过身份验证的用户进行SQL注入。

具体而言，受影响版本存在SQL注入漏洞，那么攻击者可能利用这些漏洞进行非法操作，包括篡改其他用户的账户数据并控制这些账户。

CVE-2024-45610

CVE-2024-45610是GLPI的/cable.php 中存在的反射型 XSS漏洞，允许未经身份验证攻击者通过精心设计的恶意链接利用反射XSS漏洞。

具体而言，该漏洞允许未经身份验证的用户可以向GLPI技术人员提供一个精心制作的恶意链接，以利用位于电缆表单中的反射XSS漏洞。

CVE-2024-45609

CVE-2024-45609是GLPI的/cable.php 中存在的反射型 XSS漏洞，允许未经身份验证攻击者通过精心设计的恶意链接利用反射XSS漏洞。

具体而言，该漏洞允许未经身份验证的用户可以向GLPI技术人员提供一个精心制作的恶意链接，以利用位于电缆表单中的反射XSS漏洞。

CVE-2024-41678

CVE-2024-41678是GLPI的/cable.php 中存在的反射型 XSS漏洞，允许未经身份验证攻击者通过精心设计的恶意链接利用反射XSS漏洞。

具体而言，该漏洞允许未经身份验证的用户可以向GLPI技术人员提供一个精心制作的恶意链接，以利用位于电缆表单中的反射XSS漏洞。

CVE-2024-43417

CVE-2024-43417是GLPI的/cable.php 中存在的反射型 XSS漏洞，允许未经身份验证攻击者通过精心设计的恶意链接利用反射XSS漏洞。

具体而言，该漏洞允许未经身份验证的用户可以向GLPI技术人员提供一个精心制作的恶意链接，以利用位于电缆表单中的反射XSS漏洞。

CVE-2024-43418

CVE-2024-43418是GLPI的/cable.php 中存在的反射型 XSS漏洞，允许未经身份验证攻击者通过精心设计的恶意链接利用反射XSS漏洞。

具体而言，该漏洞允许未经身份验证的用户可以向GLPI技术人员提供一个精心制作的恶意链接，以利用位于电缆表单中的反射XSS漏洞。

这些漏洞给依赖 GLPI 满足 IT 管理需求的组织带来了重大风险，利用这些漏洞可能会劫持用户会话、删除帐户，甚至完全控制管理帐户。

供应商已发布 GLPI 版本10.0.17，该版本已经解决了上述的所有这些漏洞，因此强烈建议用户立即升级到此版本，以降低被利用的风险。

延迟更新可能导致系统受到攻击导致数据泄露、系统中断和其他严重后果，强烈建议检查访问控制并监控系统日志是否有任何可疑活动。

三、影响范围

9.5.0 <= GLPI < 10.0.17

四、修复建议

GLPI >= 10.0.17

五、参考链接

此处内容已隐藏，评论后刷新即可查看！