Kritische Schwachstellen in GLPI entdeckt
- Warnmeldung
In der Open-Source-Software GLPI wurden mehrere schwerwiegende Schwachstellen entdeckt. Zusammengenommen könnten sie für Unternehmen ein erhebliches Risiko darstellen. Ein Update ist verfügbar, das User rasch installieren sollten.
© Adobe Stock
Erhebliche Folgen möglich
Über die kritischste Schwachstelle CVE-2024-50339 (CVSS-Base-Score 9.3/10) können Angreifende Session-IDs auslesen und sich dadurch als beliebigen User ausgeben. Dadurch können sie leicht auf sensible Daten zugreifen und Aktionen ausführen.
Weitere Schwachstellen:
- CVE-2024-48912: Benutzerkonten löschen
- CVE-2024-47760: Konten übernehmen über API
- CVE-2024-47761: Missbräuchliche Nutzung der Funktion zum Zurücksetzen des Passworts erlaubt ebenfalls Übernahme von Konten
GLPI-Version 10.0.17 behebt die genannten Schwachstellen.
GLPI (Gestionnaire Libre de Parc Informatique) ist ein Open-Source-IT-Asset-Management- und Service-Desk-System.
Empfehlungen
Beachten Sie folgende Empfehlungen:
- Aktualisieren Sie GLPI schnellstmöglich auf Version 10.0.17.
- Prüfen Sie die System-Logs auf verdächtige Aktivitäten oder geänderte Zugriffsrechte, um eine mögliche Ausnutzung zu erkennen.