Detectado Bug de Segurança no GLPi

Compartilhe esse post

Nesta semana, nossa equipe de testes e desenvolvimento descobriu um BUG grave no sistema GLPi que permite a manipulação e injeção de código SQL de forma maliciosa por parte de um atacante.

NOTA IMPORTANTE
Os Clientes do serviço GLPi em nuvem da Verdanatech já estão seguros quanto a este risco desde sua descoberta.

Por questões de segurança, não comentaremos como o ataque funciona. Mas, fazendo valer os princípios e valores praticados pela Verdanatech, mantendo total transparência e respeito a nosso compromisso com a Comunidade de usuários do sistema GLPi no Brasil e no mundo e, principalmente com nossos Clientes, tornamos público por meio desta Nota a existência do Risco de Segurança, bem como a sua eliminação.

Ações já realizadas

Ao mapear o incidente e entender que trata-se de Grande Impacto, a Verdanatech contatou diretamente os desenvolvedores oficiais do Projeto GLPi para relato do BUG e de seu risco.

Tomamos como decisão não abrir uma ISSUE padrão no repositório GIT do Projeto, como é de costume, para que os métodos de exploração da vulnerabilidade não pudessem ser explorados por pessoas mal intencionadas.

Versões afetadas

Este erro afeta as versões anteriores a 9.4 que permitem a opção de usar abertura de chamados sem o recurso de Texto Rico (recursos html e imagens na abertura de chamados).

Solução

Embora seja um erro crítico que pode permitir ao atacante obter informações de forma indevida a seu sistema ou até mesma apagar sua base de dados, dependendo do ambiente, sua solução é bastante simples e pode ser feita sem a manipulação de qualquer código. Tornando necessário apenas realizar ajustes no sistema.

Para solucionar o problema, basta ativar o recurso Texto Rico no sistema. Abaixo, apresentamos como executar isso no seu ambiente:

Passo 1 – Acesse o seu sistema com uma conta de administrador

Passo 2 – Selecione: Menu principal > Configurar > Geral

3 – Agora, acesse a aba “Assistência” e marque a opção “Usar texto rico para helpdesk” como “SIM”. Feito isso, basta clicar em no botão “Salvar” e sua base não estará mais vulnerável.

Esperamos que tenhamos contribuído com este pequeno post e que isso lhe ajude a evitar problemas no futuro.

Deixe o seu comentário

Quer receber nossas atualizações com conteúdos exclusivos?

Deixe seu contato

Mais artigos para você explorar

Install glpi debina
GLPI

Como instalar GLPi 9.5 [9.5.8]

Aprenda de forma rápida e direta a instalar o GLPi 9.5 em um GNU/Linux Debian 11. Recentemente foi liberada pela Teclib a nova versão do GLPi, a 9.5. Porém, em poucos dias já foi lançada uma nova versão (9.5.1) com correções de BUGs, inclusive de segurança.

Instalação do GLPi agent em massa
GLPi Agent

Instalação do GLPi Agent em Massa

Aprenda como funciona o GLPi ou Fusioninventotry Agent e faça a instalação do GLPi Agent em massa via GPO em sua rede.