LDAP password exposure in glpi 漏洞信息(CVE-2022-24867)

一、漏洞 CVE-2022-24867 基础信息

漏洞标题

LDAP密码在GLPI中泄露

来源：AIGC 神龙大模型

漏洞描述信息

glpi中的LDAP密码泄露

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

LDAP password exposure in glpi

来源：美国国家漏洞数据库 NVD

漏洞描述信息

GLPI is a Free Asset and IT Management Software package, that provides ITIL Service Desk features, licenses tracking and software auditing. When you pass the config to the javascript, some entries are filtered out. The variable ldap_pass is not filtered and when you look at the source code of the rendered page, we can see the password for the root dn. Users are advised to upgrade. There is no known workaround for this issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

信息暴露

来源：美国国家漏洞数据库 NVD

漏洞标题

GLPI 信息泄露漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。 GLPI 存在安全漏洞，该漏洞源于变量 ldap_pass 没有被过滤，当你查看渲染页面的源代码时，我们可以看到 root dn 的密码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

信息泄露

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-24867 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2022-24867 的情报信息

https://github.com/glpi-project/glpi/security/advisories/GHSA-4r49-52q9-5fgr x_refsource_CONFIRM
https://github.com/glpi-project/glpi/commit/26f0a20810db11641afdcf671bac7a309acbb94e x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-24867

一、 漏洞 CVE-2022-24867 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-24867 的公开POC

三、漏洞 CVE-2022-24867 的情报信息

一、漏洞 CVE-2022-24867 基础信息