Vulnerabilità: CVE-2020-26212

GLPI sta per Gestionnaire Libre de Parc Informatique ed è un pacchetto gratuito patrimoniale e IT Management Software, che fornisce ITIL caratteristiche del servizio scrivania, le licenze di monitoraggio e auditing software. In GLPI prima della versione 9.5.3, qualsiasi utente autenticato ha autorizzazioni di sola lettura per la progettazione di ogni altro utente, anche quelli di amministrazione. Procedura per riprodurre il problema: 1. Creare un nuovo progetto con l’utente ‘eduardo.mozart’ (del gruppo ‘IT’ che appartiene a ‘Super-admin’) in esso è la pianificazione personale a ‘Assistenza’> ‘pianificazione’. 2. Copia l’URL CalDAV e utilizzare un client CalDAV (ad esempio Thunderbird) per la sincronizzazione della pianificazione con l’URL fornito. 3. Informare il nome utente e la password da qualsiasi utente valido (ad esempio ‘Camila’ dal gruppo ‘Proativa’). 4. ‘Camila’ ha accesso alla pianificazione personale ‘eduardo.mozart’ in sola lettura. Lo stesso comportamento accade a qualsiasi gruppo. Per esempio. ‘Camila’ ha accesso a ‘IT’ la pianificazione di gruppo, anche se lei non appartiene a questo gruppo e ha un permesso di profilo ‘self-service’). Questo problema è stato risolto nella versione 9.5.3. Per risolvere il problema, si può rimuovere il file `caldav.php` per bloccare l’accesso al server CalDAV.


https://github.com/glpi-project/glpi/security/advisories/GHSA-qmw3-87hr-5wgx
https://github.com/glpi-project/glpi/security/advisories/GHSA-qmw3-87hr-5wgx
https://github.com/glpi-project/glpi/commit/527280358ec78988ac57e9809d2eb21fcd74caf7
https://github.com/glpi-project/glpi/commit/527280358ec78988ac57e9809d2eb21fcd74caf7
https://github.com/glpi-project/glpi/releases/tag/9.5.3
https://github.com/glpi-project/glpi/releases/tag/9.5.3
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26212


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi