CVE-2020-15175 in GLPIinfo

Zusammenfassung

von VulDB • 14.06.2026

In GLPI vor Version 9.5.2 ermöglicht der Endpunkt `​pluginimage.send.php​` einem Benutzer, ein Bild aus einem Plugin anzugeben. Die Parameter können böswillig so manipuliert werden, dass stattdessen die .htaccess-Datei für das Verzeichnis „files“ gelöscht wird. Jeder Benutzer kann daraufhin alle Dateien und Ordner lesen, die in „/files/“ enthalten sind. Zu den kompromittierten sensiblen Informationen gehören Benutzersitzungen (Sessions), Protokolle (Logs) und mehr. Ein Angreifer könnte das Sitzungs-Token der Administratoren erhalten und dieses zur Authentifizierung verwenden. Das Problem wurde in Version 9.5.2 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub, Inc.

Reservieren

25.06.2020

Veröffentlichung

08.10.2020

Moderieren

akzeptiert

Eintrag

VDB-162369

CPE

bereit

EPSS

0.71352

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!