GLPI vulnerable to unauthenticated session hijacking 漏洞信息(CVE-2024-50339)

一、漏洞 CVE-2024-50339 基础信息

漏洞标题

GLPI 存在未认证的会话劫持漏洞

来源：AIGC 神龙大模型

漏洞描述信息

GLPI是一款免费的资产和IT管理软件包。在版本9.5.0及之后直到版本10.0.17之前，未经身份验证的用户可以获取所有会话ID，并利用这些ID盗取任何有效会话。版本10.0.17中已针对此问题进行了修补。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

不充分的会话过期机制

来源：AIGC 神龙大模型

漏洞标题

GLPI vulnerable to unauthenticated session hijacking

来源：美国国家漏洞数据库 NVD

漏洞描述信息

GLPI is a free asset and IT management software package. Starting in version 9.5.0 and prior to version 10.0.17, an unauthenticated user can retrieve all the sessions IDs and use them to steal any valid session. Version 10.0.17 contains a patch for this issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

GLPI 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

GLPI是GLPI开源的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。 GLPI 9.5.0版本至10.0.17之前版本存在跨站脚本漏洞，该漏洞源于未经身份验证的用户可以检索所有会话ID并使用它们窃取任何有效会话。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-50339 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-50339 的情报信息

标题： Release 10.0.17 · glpi-project/glpi · GitHub -- 🔗来源链接

标签： x_refsource_MISC
标题： Unauthenticated session hijacking (Leakymetry) · Advisory · glpi-project/glpi · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2024-50339

一、 漏洞 CVE-2024-50339 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-50339 的公开POC

三、漏洞 CVE-2024-50339 的情报信息

一、漏洞 CVE-2024-50339 基础信息