点击蓝字 关注我们
点击蓝字 关注我们
声明
本文作者:ckcsec
本文字数:378
阅读时长:7 分钟
项目/链接:文末获取
本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载
声明
本文作者:ckcsec
本文字数:378
阅读时长:7 分钟
项目/链接:文末获取
本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载
遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口,你可以用它来建立数据库全面管理IT的电脑,显示器,服务器,打印机,网络设备,电话,甚至硒鼓和墨盒等。GLPI 10.0.2及之前版本存在安全漏洞,该漏洞源于htmlawed 模块中的 /vendor/htmlawed/htmlawed/htmLawedTest.php 允许 PHP 代码注入。
风险等级
高
影响版本
GLPI 10.0.2及之前版本
资产确定
title="GLPI"
漏洞复现
POC
https://github.com/cosad3s/CVE-2022-35914-poc
修复建议
官方已发布安全版本
https://glpi-project.org/fr/glpi-10-0-3-disponible/
https://github.com/glpi-project/glpi/releases/tag/10.0.3
原文始发于微信公众号(CKCsec安全研究院):CVE-2022-35914-GLPI 注入漏洞
