GLPI is a free asset and IT management software package. From 10.0.0 to before 10.0.24 and 11.0.6, an authenticated user can perform a SQL injection via the logs export feature. This vulnerability is fixed in 10.0.24 and 11.0.6.
GLPI versions 10.0.0-10.0.23 and before 11.0.6 contain a SQL injection vulnerability in the logs export feature that allows authenticated users to execute arbitrary SQL commands. Organizations using affected versions should immediately upgrade to patch versions 10.0.24 or 11.0.6.
تؤثر هذه الثغرة على مستخدمي GLPI المصرح لهم الذين يمكنهم الوصول إلى ميزة تصدير السجلات. يمكن للمهاجمين المصرح لهم استخدام حقن SQL لاستخراج البيانات الحساسة أو تعديل قاعدة البيانات. الثغرة موجودة في الإصدارات 10.0.0 إلى 10.0.23 و11.0.0 إلى 11.0.5.
GLPI versions 10.0.0-10.0.23 and before 11.0.6 contain a SQL injection vulnerability in the logs export feature that allows authenticated users to execute arbitrary SQL commands. Organizations using affected versions should immediately upgrade to patch versions 10.0.24 or 11.0.6.
Upgrade GLPI to version 10.0.24 or later for the 10.0.x branch, or version 11.0.6 or later for the 11.x branch. Restrict access to the logs export feature to trusted administrators only. Monitor database activity for suspicious SQL queries. Implement input validation and parameterized queries if custom modifications exist.
قم بترقية GLPI إلى الإصدار 10.0.24 أو أحدث للفرع 10.0.x، أو الإصدار 11.0.6 أو أحدث للفرع 11.x. قيد الوصول إلى ميزة تصدير السجلات للمسؤولين الموثوقين فقط. راقب نشاط قاعدة البيانات بحثاً عن استعلامات SQL المريبة. طبق التحقق من المدخلات والاستعلامات المعاملة إذا كانت هناك تعديلات مخصصة.