Foi descoberto que o GLPI não valida o nome da imagem do perfil que pode ser usado para injetar código HTML e JavaScript malicioso dentro da página. Se um administrador acessar o perfil, ele poderá ser usado para interagir com a instância do GLPI com o perfil do administrador e executar ações sensíveis, como adicionar a conta com poucos privilégios ao grupo de Super-administradores.
Tag: GLPI
ASA-2019-00475 – GLPI: Redefinição de senha insegura
Foi descoberto que o recurso de redefinição de senha não é seguro. De fato, após uma redefinição bem-sucedida da senha por um usuário, é possível alterar novamente sua senha durante 24 horas sem qualquer conhecimento, exceto seu endereço de e-mail.