CVE-2020-5248 in GLPI
要約
〜によって VulDB • 2026年06月06日
GLPIのバージョン9.4.6より前のバージョンには、デフォルトの暗号化キーに関連する脆弱性が存在します。GLPIKEYは公開されており、すべてのインスタンスで共通して使用されています。このため、誰でもこのキーを使用して保存された機密データを復号することができます。GLPIをインストールする前にキーを変更することは可能ですが、既存のインスタンスでは、データを新しいキーで再暗号化する必要があります。問題は、データベース内のどの列や行がそのキーを使用しているかを特定できないことです。特にプラグインからアクセスされるデータについては顕著です。キーを変更してもデータを更新しないと、GLPIから送信されるパスワードが正しく処理されなくなる可能性があります。ただし、UIから再度保存し直すことで正常に動作します。
If you want to get best quality of vulnerability data, you may have to visit VulDB.