One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8325130 |
| Date de publication | 2023-04-05 15:15:06 (vue: 2023-04-05 17:07:09) |
| Titre | CVE-2023-28632 |
| Texte | GLPI est un progiciel gratuit et logiciel de gestion informatique.À partir de la version 0.83 et avant les versions 9.5.13 et 10.0.7, un utilisateur authentifié peut modifier les e-mails de n'importe quel utilisateur, et peut donc prendre un autre compte d'utilisateur via la fonction "Mot de passe oublié".En modifiant les e-mails, l'utilisateur peut également recevoir des données sensibles via des notifications GLPI.Les versions 9.5.13 et 10.0.7 contiennent un correctif pour ce problème.En tant que solution de contournement, le rachat du compte peut être évité en désactivant toutes les notifications liées au «mot de passe oublié?Cependant, il n'empêchera pas la modification non autorisée des e-mails utilisateur.
GLPI is a free asset and IT management software package. Starting in version 0.83 and prior to versions 9.5.13 and 10.0.7, an authenticated user can modify emails of any user, and can therefore takeover another user account through the "forgotten password" feature. By modifying emails, the user can also receive sensitive data through GLPI notifications. Versions 9.5.13 and 10.0.7 contain a patch for this issue. As a workaround, account takeover can be prevented by deactivating all notifications related to `Forgotten password?` event. However, it will not prevent unauthorized modification of any user emails. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 28632 `forgotten account all also another any asset authenticated can contain cve data deactivating emails event feature forgotten free glpi however issue management modification modify modifying not notifications package password patch prevent prevented prior receive related sensitive software starting takeover therefore through unauthorized user version versions will workaround |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.