Informazioni sul CVE-2020-5248

Public GLPIKEY can be used to decrypt any data in GLPI

CWE ID: CWE-798

Base Score (CVSS): N/A

CVE: CVE-2020-5248

Descrizione: GLPI before before version 9.4.6 has a vulnerability involving a default encryption key. GLPIKEY is public and is used on every instance. This means anyone can decrypt sensitive data stored using this key. It is possible to change the key before installing GLPI. But on existing instances, data must be reencrypted with the new key. Problem is we can not know which columns or rows in the database are using that; espcially from plugins. Changing the key without updating data would lend in bad password sent from glpi; but storing them again from the UI will work.

Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.1 (High)

Riassunto: Accesso: Local, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) L Local L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC) H High L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR) H High Richiede privilegi elevati.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) C Changed La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C) H High Grave impatto sulla riservatezza.
Integrity Impact (I) H High Grave impatto sull’integrità.
Availability Impact (A) N None Nessun impatto sulla disponibilità.

Riferimenti esterni

Prodotti interessati

  • glpi-project – glpi

Relazioni con altri prodotti

Produttore:glpi-project
Prodotto: GLPI
Anno: 2020
CWE: CWE-798
CVSS: 0.0

Ulteriori risorse disponibili