Detectado bug de segurança grave no GLPI

Nesta semana a equipe da Verdanatech, que realiza testes e desenvolvimento dentro do ambiente de GLPI, encontrou um BUG grave no sistema que permite, a um atacante, a manipulação e injeção de código SQL malicioso no sistema.

Ao mapear o incidente, a equipe da Verdanatech, parceira oficial da GLPI Network no Brasil, de imediato tratou de contatar os desenvolvedores oficiais do projeto GLPI e relatar o BUG e seu Alto Impacto.

A issue padrão dentro do GIT do projeto do GLPI não foi aberta por motivos de segurança e com objetivo de evitar a divulgação dos métodos de exploração desta vulnerabilidade.

Versões Afetadas

Apenas as versões anteriores à 9.4 são vulneráveis a este bug pois são as únicas que permitem a abertura de chamados por e-mail sem o recurso de Texto Rico (recursos de html e imagens no corpo do e-mail)

Solução de contorno

É importante salientar que o erro é BEM crítico podendo dar acesso ao atacante a dados de forma indevida e até apagar parcial ou totalmente a sua base de dados. Mas uma solução simples é possível sem precisar manipular código algum.

Para solucionar o problema, basta ativar o recurso Texto Rico no sistema.

Veja no site da Verdanatech a nota oficial e como realizar este procedimento e evitar que sua base seja afetada.

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *