CVE-2020-15177 in GLPIinformazioni

Riassunto

di VulDB • 24/06/2026

In GLPI precedente alla versione 9.5.2, l'endpoint `install/install.php` memorizza in modo insicuro gli input dell'utente nel database come valori di `url_base` e `url_base_api`. Queste impostazioni sono referenziate in tutta l'applicazione e permettono vulnerabilità quali Cross-Site Scripting (XSS) e Reindirizzamento Insecure. Poiché non è richiesta alcuna autenticazione per apportare queste modifiche, chiunque potrebbe puntare questi campi verso siti web malevoli o input di form in modo da innescare un attacco XSS. Sfruttando JavaScript è possibile rubare i cookie, eseguire azioni come l'utente e altro ancora. Il problema è stato risolto nella versione 9.5.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub, Inc.

Prenotare

25/06/2020

Divulgazione

08/10/2020

Moderazione

accettato

CPE

pronto

EPSS

0.00770

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!