CVE-2020-15177 in GLPIالمعلومات

الملخص

بحسب VulDB • 24/06/2026

في GLPI قبل الإصدار 9.5.2، يقوم نقطة النهاية `install/install.php` بتخزين مدخلات المستخدم بشكل غير آمن في قاعدة البيانات كـ `url_base` و `url_base_api`. تُستخدم هذه الإعدادات عبر التطبيق بأكمله وتتيح ثغرات مثل تنفيذ نصوص بين المواقع (Cross-Site Scripting) وإعادة التوجيه غير الآمن. ونظراً لأن المصادقة ليست مطلوبة لإجراء هذه التغييرات، يمكن لأي شخص توجيه هذه الحقول إلى مواقع ويب خبيثة أو حقن مدخلات نماذج بطريقة تؤدي إلى تفعيل XSS. ومن خلال استغلال JavaScript، يصبح من الممكن سرقة ملفات تعريف الارتباط (Cookies) وتنفيذ إجراءات بصفتك المستخدم، وغيرها. تم إصلاح المشكلة في الإصدار 9.5.2.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

25/06/2020

إفشاء

08/10/2020

الاعتدال

تمت الموافقة

إدخال

VDB-162371

EPSS

0.00770

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!