BDU:2023-03385
ООО «Ред Софт», INDEPNET GLPI, РЕД ОС
Дата обнаружения
2023-04-05
Официальное описание
Уязвимость системы работы с заявками и инцидентами GLPI связана с недостаточной очисткой пользовательских данных на страницах поиска, злоумышленник может заставить жертву перейти по специально созданной ссылке и выполнить произвольный код HTML и скрипта в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка»
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для GLPI: Обновление программного обеспечения до версии 9.5.1 Обновление программного обеспечения до версии 10.0.7
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/