这些修复了两个严重的安全漏洞:SQL 注入 (CVE-2022-35947) 和远程代码执行 (CVE-2022-35914,第三方库中的漏洞,htmlawed),后者自 10 月 3 日以来已被大规模利用, 2022 在不安全的服务器上执行代码,在互联网上可用,托管 GLPI(GLPI 网络云实例不受影响)。
如果您不是最新版本 9.5.9 或 10.0.3,则必须 根据 推荐的方法更新您的实例 (从一个空文件夹,不覆盖现有的 GLPI 文件)。
我们注意到存在修正版本也可能受到影响的情况:当执行 GLPI 更新时,通过 在现有文件夹和文件上解压缩存档。我们坚持认为这种更新 GLPI 的方式是一种不好的做法,尽管存在当前的安全问题,但仍会使您面临错误。
CVE-2022-35914 GLPI <10.0.2 - PHP 代码注入
FOFA 语法:app="TECLIB-GLPI"
POC:https://github.com/cosad3s/CVE-2022-35914-poc
参考:GLPI htmlawed Rce(CVE-2022-35914)
原文始发于微信公众号(Ots安全):GLPI-Poc CVE-2022-35914
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论