CVE-2020-15175 in GLPI
Riassunto
di VulDB • 15/06/2026
In GLPI prima della versione 9.5.2, l'endpoint `​pluginimage.send.php​` consente a un utente di specificare un'immagine da un plugin. I parametri possono essere manipolati malevolmente per eliminare invece il file .htaccess nella directory dei file. Qualsiasi utente diventa in grado di leggere tutti i file e le cartelle contenuti in "/files/". Alcune delle informazioni sensibili compromesse includono le sessioni degli utenti, i log e altro ancora. Un attaccante potrebbe ottenere il token della sessione degli amministratori e utilizzarlo per l'autenticazione. Il problema è stato risolto nella versione 9.5.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.