PT-2011-23: Раскрытие чувствительной информации в GLPI Уязвимое ПОGLPI Версия 0.80.1 и более ранниеСсылка на приложение: http://www.glpi-project.org/ Рейтинг опасностиУровень опасности: Высокий Воздействие: Раскрытие чувствительной информации Вектор атаки: УдаленныйCVSS v2: Base Score: 6.5 Vector: (AV:N/AC:L/Au:S/C:P/I:P/A:P)CVE: отсутствует Описание программного обеспеченияСистема GLPI представляет собой help desk приложение. Данное решение предоставляется бесплатно.Описание уязвимостиИсследовательcкий центр Positive Research обнаружил уязвимость раскрытия чувствительной информации, позволяющая получить записи из БД обладая минимальными привилегиями.Уязвимость содержиться в скрипте /ajax/autocompletion.php. Специально сформированный запрос к данному скрипту позволяет получить имена и хеши паролей зарегистрированных в системе пользователей. РешениеУстановите последнюю версию приложенияСсылка на обновление Статус уведомления11.07.2011 - Производитель уведомлен 20.07.2011 - Производителю отправлены детали уязвимости 21.07.2011 - Производитель выпустил исправление 03.08.2011 - Публикация уязвимости БлагодарностиУязвимость обнаружил Юрий Гольцев (Исследовательcкий центр Positive Research компании Positive Technologies) Ссылкиhttp://www.securitylab.ru/lab/PT-2011-23 Список отчетов о ранее обнаруженных уязвимостях Positive Research Center:http://www.ptsecurity.ru/advisory.asp http://www.securitylab.ru/lab/
