CVE-2020-15175 in GLPI
Zusammenfassung
von VulDB • 14.06.2026
In GLPI vor Version 9.5.2 ermöglicht der Endpunkt `​pluginimage.send.php​` einem Benutzer, ein Bild aus einem Plugin anzugeben. Die Parameter können böswillig so manipuliert werden, dass stattdessen die .htaccess-Datei für das Verzeichnis „files“ gelöscht wird. Jeder Benutzer kann daraufhin alle Dateien und Ordner lesen, die in „/files/“ enthalten sind. Zu den kompromittierten sensiblen Informationen gehören Benutzersitzungen (Sessions), Protokolle (Logs) und mehr. Ein Angreifer könnte das Sitzungs-Token der Administratoren erhalten und dieses zur Authentifizierung verwenden. Das Problem wurde in Version 9.5.2 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.