CVE-2022-35914-GLPI 注入漏洞

渗透技巧 2个月前 admin
358 0 0

CVE-2022-35914-GLPI 注入漏洞

点击蓝字 关注我们

CVE-2022-35914-GLPI 注入漏洞


声明

本文作者:ckcsec
本文字数:378

阅读时长:7 分钟

项目/链接:文末获取

本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载

遵纪守法

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益

漏洞描述

GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口,你可以用它来建立数据库全面管理IT的电脑,显示器,服务器,打印机,网络设备,电话,甚至硒鼓和墨盒等。GLPI 10.0.2及之前版本存在安全漏洞,该漏洞源于htmlawed 模块中的 /vendor/htmlawed/htmlawed/htmLawedTest.php 允许 PHP 代码注入。

风险等级

影响版本

GLPI 10.0.2及之前版本

资产确定

title="GLPI"

漏洞复现

CVE-2022-35914-GLPI 注入漏洞
CVE-2022-35914-GLPI 注入漏洞

POC

https://github.com/cosad3s/CVE-2022-35914-poc

修复建议

官方已发布安全版本

https://glpi-project.org/fr/glpi-10-0-3-disponible/

https://github.com/glpi-project/glpi/releases/tag/10.0.3

另外关注公众号后台回复“框架RCE”可获取常见框架漏洞利用工具后台回复“0110”获取红队攻防内部手册。回复“apk11获取apk测试工具集。
下面就是团队的公众号啦,老铁来都来了点波关注叭!

原文始发于微信公众号(CKCsec安全研究院):CVE-2022-35914-GLPI 注入漏洞

版权声明:admin 发表于 2022年10月2日 下午7:19。
转载请注明:CVE-2022-35914-GLPI 注入漏洞 | CTF导航

相关文章

暂无评论

暂无评论...