CVE-2020-15177 in GLPI
Riassunto
di VulDB • 24/06/2026
In GLPI precedente alla versione 9.5.2, l'endpoint `install/install.php` memorizza in modo insicuro gli input dell'utente nel database come valori di `url_base` e `url_base_api`. Queste impostazioni sono referenziate in tutta l'applicazione e permettono vulnerabilità quali Cross-Site Scripting (XSS) e Reindirizzamento Insecure. Poiché non è richiesta alcuna autenticazione per apportare queste modifiche, chiunque potrebbe puntare questi campi verso siti web malevoli o input di form in modo da innescare un attacco XSS. Sfruttando JavaScript è possibile rubare i cookie, eseguire azioni come l'utente e altro ancora. Il problema è stato risolto nella versione 9.5.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.