ALT Linux Team

Branch p10 update on 2024-07-26

2024-07-26

ALT-BU-2024-10388-2

Branch p10 update bulletin.

ALT-PU-2024-10022-3

Package glpi updated to version 10.0.16-alt1 for branch p10 in task 352991.

Closed vulnerabilities

Published: 2024-09-03

BDU:2024-06606

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с внешним контролем имени файла или пути, позволяющая нарушителю загрузить произвольный PHP-скрипт и перехватить загрузчик плагинов для выполнения этого произвольный скрипта

Severity: HIGH (7.2)Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Severity: HIGH (8.3)Vector: AV:N/AC:L/Au:M/C:C/I:C/A:C
References:
Published: 2024-09-03

BDU:2024-06607

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с неправильной нейтрализацией специальных элементов, используемых в команде SQL, позволяющая нарушителю изменить данные учетной записи другого пользователя и получить над ней контроль

Severity: HIGH (8.1)Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Severity: HIGH (8.5)Vector: AV:N/AC:L/Au:S/C:C/I:C/A:N
References:
Published: 2024-09-03

BDU:2024-06608

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с неправильным контролем доступа, позволяющая нарушителю обойти текущие правила разграничения доступа

Severity: MEDIUM (4.3)Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Severity: MEDIUM (4.0)Vector: AV:N/AC:L/Au:S/C:N/I:P/A:N
References:
Published: 2025-08-18

BDU:2025-09879

Уязвимость программного обеспечения для управления активами и центрами обработки данных GLPI, связанная с неправильным контролем доступа, позволяющая нарушителю получить доступ к конфиденциальной информации

Severity: HIGH (7.5)Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Severity: HIGH (7.8)Vector: AV:N/AC:L/Au:N/C:C/I:N/A:N
References:
Published: 2024-07-10
Modified: 2025-01-07

CVE-2024-37147

GLPI is an open-source asset and IT management software package that provides ITIL Service Desk features, licenses tracking and software auditing. An authenticated user can attach a document to any item, even if the user has no write access on it. Upgrade to 10.0.16.

Severity: MEDIUM (4.3)Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
References:
Published: 2024-07-10
Modified: 2025-01-07

CVE-2024-37148

GLPI is an open-source asset and IT management software package that provides ITIL Service Desk features, licenses tracking and software auditing. An authenticated user can exploit a SQL injection vulnerability in some AJAX scripts to alter another user account data and take control of it. Upgrade to 10.0.16.

Severity: HIGH (8.1)Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
References:
Published: 2024-07-10
Modified: 2025-01-07

CVE-2024-37149

GLPI is an open-source asset and IT management software package that provides ITIL Service Desk features, licenses tracking and software auditing. An authenticated technician user can upload a malicious PHP script and hijack the plugin loader to execute this malicious script. Upgrade to 10.0.16.

Severity: HIGH (8.8)Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
References:
Published: 2024-11-15
Modified: 2025-02-10

CVE-2024-38370

GLPI is a free asset and IT management software package. Starting in 9.2.0 and prior to 11.0.0, it is possible to download a document from the API without appropriate rights. Upgrade to 10.0.16.

Severity: HIGH (7.5)Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
References:
VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
Version: 2.1.2
Back to top