GLPI 漏洞列表

Teclib GLPI <= 9.3.3 exposes a script (/scripts/unlock_tasks.php) that incorrectly sanitizes user controlled data before using it in SQL queries. Thus, an attacker could abuse the affected feature to alter the semantic original SQL query and retrieve database records.

GLPI prior 9.4.6 contains an open redirect vulnerability based on a regexp.

GLPI 9.2 and prior to 9.5.6 is susceptible to information disclosure via the telemetry endpoint, which discloses GLPI and server information. An attacker can possibly obtain sensitive information, modify data, and/or execute unauthorized operations.

Barcode is a GLPI plugin for printing barcodes and QR codes. GLPI instances version 2.x prior to version 2.6.1 with the barcode plugin installed are vulnerable to a path traversal vulnerability.

GLPI through 10.0.2 is susceptible to remote command execution injection in /vendor/htmlawed/htmlawed/htmLawedTest.php in the htmlawed module.

GLPI is a Free Asset and IT Management Software package. Prior to 10.0.15, an authenticated user can exploit a SQL injection vulnerability in the saved searches feature to alter another user account data take control of it.

A pre-authentication SQL injection vulnerability exists in the Inventory feature of GLPI. The vulnerability is caused by insufficient sanitization of user input in the handleAgent function when processing XML requests. The issue occurs because SimpleXMLElement objects can bypass the dbEscapeRecursive function, allowing an attacker to inject SQL queries. This can lead to unauthorized access to sensitive information in the database, including user credentials and potential authentication bypass.

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

GLPI是一款基于开源技术的卓越服务管理软件。它可以帮助您以简便的方式规划和管理IT变更，高效解决问题，自动化业务流程，并对您的IT基础设施实现更好的控制。GLPI存在SQL注入漏洞， 未经身份验证的用户可以通过清单终端节点执行 SQL 注入。此漏洞已在 10.0.18 版本中修复。

GLPI是GLPI开源的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。 GLPI 10.0.18之前版本存在跨站脚本漏洞，该漏洞源于存在反射型跨站脚本攻击，可能允许未经验证的用户执行攻击。

GLPI是GLPI开源的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。 GLPI 0.71至10.0.18之前版本存在信息泄露漏洞，该漏洞源于匿名用户可从status.php端点获取敏感信息。

GLPI是GLPI开源的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。 GLPI 10.0.18之前版本存在信息泄露漏洞，该漏洞源于低权限用户可启用调试模式并访问敏感信息。

GLPI中存在SQL注入漏洞。该漏洞是由于使用REST API进行身份验证时对用户令牌的验证不正确导致的。

GLPI中存在SQL注入漏洞，该漏洞是由于未正确验证SQL查询中使用的清单代理请求中的用户数据造成的。

GLPI-Project GLPI存在命令注入漏洞。该漏洞是由于对发送到站点htmLawedTest.php的用户配置数据验证不当导致的。

GLPI (Gestion Libre de Parc Informatique) 是一个可视化的信息资源管理器软件。CVE-2022-35914中，攻击者可构造恶意请求，通过GLPI的第三方依赖执行任意代码，控制服务器。

/vendor/htmlawed/htmlawed/htmLawedTest.php在GLPI到10.0.2的htmlawed模块中允许PHP代码注入

Teclib GLPI是法国Teclib公司的一套开源的IT资产管理套件,该系统9.2-9.5.6之前的版本存在系统信息泄漏的漏洞

TeclibGLPI是法国Teclib公司的一套开源的IT资产管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。9.3.3版本之前在scripts/unlock_tasks.php存在SQL注入漏洞。

GLPI是个人开发者的一款开源IT和资产管理软件，Barcode 是一个用于打印条码和二维码的 GLPI 插件。安装了条形码插件的 2.6.1 版之前的GLPI 实例 2.x 版容易受到路径遍历漏洞的影响，攻击者可以注入“../”来转义并读取受影响设备上的所有可读文件。

GLPI是Indepnet协会维护的一款开源的IT资源管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。 GLPI 0.85.3之前版本中存在任意文件上传漏洞。远程攻击者可通过将可执行文件作为附件添加到新的票据，并发送直接的请求访问该文件利用该漏洞执行任意代码。