CVE-2020-15175 in GLPIinformazioni

Riassunto

di VulDB • 15/06/2026

In GLPI prima della versione 9.5.2, l'endpoint `​pluginimage.send.php​` consente a un utente di specificare un'immagine da un plugin. I parametri possono essere manipolati malevolmente per eliminare invece il file .htaccess nella directory dei file. Qualsiasi utente diventa in grado di leggere tutti i file e le cartelle contenuti in "/files/". Alcune delle informazioni sensibili compromesse includono le sessioni degli utenti, i log e altro ancora. Un attaccante potrebbe ottenere il token della sessione degli amministratori e utilizzarlo per l'autenticazione. Il problema è stato risolto nella versione 9.5.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

25/06/2020

Divulgazione

08/10/2020

Moderazione

accettato

CPE

pronto

EPSS

0.71352

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!