CVE-2020-5248 in GLPI
Résumé
par VulDB • 06/06/2026
GLPI, avant la version 9.4.6, présente une vulnérabilité liée à une clé de chiffrement par défaut. La clé GLPIKEY est publique et est utilisée sur chaque instance. Cela signifie que n'importe qui peut déchiffrer les données sensibles stockées à l'aide de cette clé. Il est possible de modifier la clé avant d'installer GLPI. Cependant, sur les instances existantes, les données doivent être re-chiffrées avec la nouvelle clé. Le problème est que nous ne pouvons pas savoir quelles colonnes ou quelles lignes de la base de données utilisent cette clé, en particulier celles provenant des plugins. Changer la clé sans mettre à jour les données entraînerait l'envoi de mots de passe incorrects depuis GLPI ; mais les stocker à nouveau via l'interface utilisateur fonctionnera correctement.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.