Se han publicado actualizaciones GLPI. Estas actualizaciones corrigen dos vulnerabilidades críticas, las cuales podrían permitir a un ciberatacante inyectar comandos SQL o realizar una ejecución remota de código.

Recursos afectados: 

Versiones anteriores a la versión 9.5.9 o 10.0.3.

Descripción: 

GLPi es una solución libre de gestión de servicios de tecnología de la información, un sistema de seguimiento de incidencias y de solución service desk. Este software de código abierto está editado en PHP y distribuido bajo una licencia GPL.

Las actualizaciones corrigen dos vulnerabilidades críticas, las cuales podrían permitir a un ciberatacante inyectar comandos SQL o realizar una ejecución remota de código. Los identificadores asignados son CVE-2022-35947 y CVE-2022-35914 respectivamente.

Se ha comprobado que las versiones afectadas son vulnerables a un ataque de inyección SQL y a una ejecución remota de código. Esta última ha sido explotada masivamente para ejecutar código en servidores inseguros, disponibles en Internet, alojando GLPI (las instancias de GLPI Network Cloud no se ven afectadas).

Recomendaciones: 

Actualizar a las versiones 9.5.9 o 10.0.3. Si no es posible actualizar a estas versiones, siga el método recomendado, (desde una carpeta vacía, sin sobrescribir los archivos GLPI existentes).

Referencias:

• https://glpi-project.org/security-update-10-0-3-and-9-5-9/
• https://github.com/glpi-project/glpi/security/advisories/GHSA-7p3q-cffg-c8xh
• https://github.com/glpi-project/glpi/security/advisories/GHSA-c5gx-789q-5pcr
• https://mayfly277.github.io/posts/GLPI-htmlawed-CVE-2022-35914/
• https://successhttps//github.com/cosad3s/CVE-2022-35914-poc.trendmicro.com/dcx/s/solution/000291651?language=en_US
• https://github.com/AruiBlog/CVE-2022-35914-GUI