One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8404791 |
| Date de publication | 2023-11-02 14:15:11 (vue: 2023-11-02 17:07:31) |
| Titre | CVE-2023-42802 |
| Texte | GLPI est un progiciel gratuit et logiciel de gestion informatique.À partir de la version 10.0.7 et avant la version 10.0.10, une instanciation d'objet non vérifiée permet de télécharger des fichiers PHP malveillants dans des répertoires indésirables.Selon la configuration du serveur Web et les bibliothèques système disponibles, les fichiers PHP malveillants peuvent ensuite être exécutés via une demande de serveur Web.La version 10.0.10 résout ce problème.En tant que solution de contournement, supprimez l'accès en écriture sur les fichiers `/ ajax` et« / front »au serveur Web.
GLPI is a free asset and IT management software package. Starting in version 10.0.7 and prior to version 10.0.10, an unverified object instantiation allows one to upload malicious PHP files to unwanted directories. Depending on web server configuration and available system libraries, malicious PHP files can then be executed through a web server request. Version 10.0.10 fixes this issue. As a workaround, remove write access on `/ajax` and `/front` files to the web server. |
| Envoyé | Oui |
| Condensat | 2023 42802 `/ajax` `/front` access allows asset available can configuration cve depending directories executed files fixes free glpi instantiation issue libraries malicious management object one package php prior remove request server software starting system then through unverified unwanted upload version web workaround write |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.