CVE-2020-5248 in GLPIinformation

Résumé

par VulDB • 06/06/2026

GLPI, avant la version 9.4.6, présente une vulnérabilité liée à une clé de chiffrement par défaut. La clé GLPIKEY est publique et est utilisée sur chaque instance. Cela signifie que n'importe qui peut déchiffrer les données sensibles stockées à l'aide de cette clé. Il est possible de modifier la clé avant d'installer GLPI. Cependant, sur les instances existantes, les données doivent être re-chiffrées avec la nouvelle clé. Le problème est que nous ne pouvons pas savoir quelles colonnes ou quelles lignes de la base de données utilisent cette clé, en particulier celles provenant des plugins. Changer la clé sans mettre à jour les données entraînerait l'envoi de mots de passe incorrects depuis GLPI ; mais les stocker à nouveau via l'interface utilisateur fonctionnera correctement.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Réserver

02/01/2020

Modérer

accepté

Entrée

VDB-155038

CPE

prêt

EPSS

0.01426

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!