Уязвимость CVE-2022-39277: Информация

Описание

GLPI stands for Gestionnaire Libre de Parc Informatique. GLPI is a Free Asset and IT Management Software package that provides ITIL Service Desk features, licenses tracking and software auditing. External links are not properly sanitized and can therefore be used for a Cross-Site Scripting (XSS) attack. This issue has been patched, please upgrade to GLPI 10.0.4. There are currently no known workarounds.

Важность: MEDIUM (4,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2022-39277

Опубликовано: 3 ноября 2022 г.

Изменено: 3 ноября 2022 г.

Идентификатор типа ошибки: CWE-79

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
glpi	sisyphus	10.0.5-alt1	10.0.15-alt1	ALT-PU-2022-3008-1	309499	Исправлено
glpi	sisyphus_e2k	10.0.5-alt1	10.0.14-alt1	ALT-PU-2022-6932-1	-	Исправлено
glpi	p10	9.5.11-alt1	10.0.14-alt1	ALT-PU-2022-3078-1	309550	Исправлено
glpi	p10_e2k	9.5.11-alt1	10.0.14-alt1	ALT-PU-2022-7078-1	-	Исправлено
glpi	p9	9.5.11-alt1	9.5.13-alt1	ALT-PU-2022-3274-1	310702	Исправлено
glpi	p9_e2k	9.5.11-alt1	9.5.13-alt1	ALT-PU-2022-7363-1	-	Исправлено
glpi	c10f1	9.5.11-alt1	9.5.13-alt1	ALT-PU-2022-3078-1	309550	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://github.com/glpi-project/glpi/security/advisories/GHSA-rhcw-8r7g-8pwc	Third Party Advisory
https://huntr.dev/bounties/8e047ae1-7a7c-48e0-bee3-d1c36e52ff42/	Exploit Issue Tracking Patch Third Party Advisory

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:glpi-project:glpi:*:*:*:*:*:*:*:*
  Start including
  0.60
  End excliding
  10.0.4

Версия: v24.4.2

Наверх

Уязвимость CVE-2022-39277: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1