Уязвимость CVE-2021-39209: Информация

Описание

GLPI is a free Asset and IT management software package. In versions prior to 9.5.6, a user who is logged in to GLPI can bypass Cross-Site Request Forgery (CSRF) protection in many places. This could allow a malicious actor to perform many actions on GLPI. This issue is fixed in version 9.5.6. There are no workarounds aside from upgrading.

Важность: HIGH (8,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2021-39209
Опубликовано: 15 сентября 2021 г.
Изменено: 27 сентября 2021 г.
Идентификатор типа ошибки: CWE-352

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
glpisisyphus9.5.6-alt110.0.15-alt1ALT-PU-2021-3030-1286922Исправлено
glpip109.5.6-alt110.0.14-alt1ALT-PU-2021-3038-1287043Исправлено
glpip99.5.6-alt19.5.13-alt1ALT-PU-2021-3059-1287044Исправлено
glpic10f19.5.6-alt19.5.13-alt1ALT-PU-2021-3038-1287043Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://github.com/glpi-project/glpi/security/advisories/GHSA-5qpf-32w7-c56p
  • Third Party Advisory
https://github.com/glpi-project/glpi/releases/tag/9.5.6
  • Release Notes

    1. Конфигурация 1

      cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:*
      End excliding
      9.5.6
VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
Версия: v24.4.2
Наверх