BDU:2023-03388
ООО «Ред Софт», INDEPNET GLPI, РЕД ОС
Дата обнаружения
2023-04-05
Официальное описание
Уязвимость системы работы с заявками и инцидентами GLPI связана с недостаточной очисткой пользовательских данных при обработке внешних ссылок, пользователь может внедрить и выполнить произвольный код HTML и скрипт в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка»
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для GLPI: https://github.com/glpi-project/glpi/releases/tag/10.0.7 https://github.com/glpi-project/glpi/releases/tag/9.5.13
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/