Informazioni sul CVE-2025-23046
GLPI vulnerable to unauthorized authentication by email using the OAuthIMAP plugin
CWE ID: CWE-303
Base Score (CVSS): 6.3
CVE: CVE-2025-23046
Descrizione: GLPI è un pacchetto software di asset e gestione IT gratuito. Se un “Provider di autenticazione per server di posta” è configurato per utilizzare una connessione OAuth fornita dal plugin OauthIMAP, chiunque può connettersi a GLPI utilizzando un nome utente per il quale esiste già un’autorizzazione OAuth. La versione 10.0.18 contiene una patch. Come workaround, si può disabilitare qualsiasi “Provider di autenticazione per server di posta” configurato per utilizzare una connessione OAuth fornita dal plugin OauthIMAP.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/glpi-project/glpi/security/advisories/GHSA-vfxc-qg3v-j2r5
- https://github.com/glpi-project/glpi/releases/tag/10.0.18
Prodotti interessati
- glpi-project – glpi
Relazioni con altri prodotti
Produttore:glpi-project
Prodotto: GLPI
Anno: 2025
CWE: CWE-303
CVSS: 6.3