GLPI ‘sub_type’ 远程文件包含漏洞

漏洞信息详情

GLPI ‘sub_type’ 远程文件包含漏洞

• CNNVD编号：CNNVD-201202-211
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-1037
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-02-14
  
• 厂        商：
  
  glpi-project
• 漏洞来源：
  Emilien Girault

GLPI是Indepnet协会维护的一款开源的IT资源管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。

GLPI 0.78至0.80.61之间的版本中存在PHP远程文件包含漏洞，该漏洞源于对用户提供的输入未经充分过滤。攻击者可利用该漏洞在受影响应用程序上下文中包含并执行任意远程文件和恶意PHP代码，这将有助于操控应用程序和底层系统，也可能执行其他攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://forge.indepnet.net/projects/glpi

来源: forge.indepnet.net

链接:https://forge.indepnet.net/projects/glpi/versions/685

来源: forge.indepnet.net

链接:https://forge.indepnet.net/projects/glpi/repository/revisions/17457/diff/branches/0.80-bugfixes/front/popup.php

来源: forge.indepnet.net

链接:https://forge.indepnet.net/issues/3338

来源: MANDRIVA

名称: MDVSA-2012:016

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2012:016

来源: FULLDISC

名称: 20120210 CVE-2012-1037: GLPI <= 0.80.61 LFI/RFI

链接:http://seclists.org/fulldisclosure/2012/Feb/157

来源:SECUNIA

名称:47982

链接:http://secunia.com/advisories/47982

来源: BID

名称: 51958

链接:http://www.securityfocus.com/bid/51958