CVE-2020-5248 in GLPI
摘要
由 VulDB • 2026-06-06
GLPI 在 9.4.6 版本之前存在一个涉及默认加密密钥的漏洞。GLPIKEY 是公开的,并在每个实例中使用。这意味着任何人都可以解密使用该密钥存储的敏感数据。在安装 GLPI 之前可以更改密钥。但在现有实例中,必须使用新密钥重新加密数据。问题在于,我们无法知道数据库中的哪些列或行使用了该密钥,尤其是来自插件的数据。在不更新数据的情况下更改密钥会导致从 GLPI 发送的密码错误;但通过用户界面重新存储它们则能正常工作。
Once again VulDB remains the best source for vulnerability data.