Detectado Bug de Segurança no GLPi

Compartilhe esse post

Nesta semana, nossa equipe de testes e desenvolvimento descobriu um BUG grave no sistema GLPi que permite a manipulação e injeção de código SQL de forma maliciosa por parte de um atacante.

NOTA IMPORTANTE
Os Clientes do serviço GLPi em nuvem da Verdanatech já estão seguros quanto a este risco desde sua descoberta.

Por questões de segurança, não comentaremos como o ataque funciona. Mas, fazendo valer os princípios e valores praticados pela Verdanatech, mantendo total transparência e respeito a nosso compromisso com a Comunidade de usuários do sistema GLPi no Brasil e no mundo e, principalmente com nossos Clientes, tornamos público por meio desta Nota a existência do Risco de Segurança, bem como a sua eliminação.

Ações já realizadas

Ao mapear o incidente e entender que trata-se de Grande Impacto, a Verdanatech contatou diretamente os desenvolvedores oficiais do Projeto GLPi para relato do BUG e de seu risco.

Tomamos como decisão não abrir uma ISSUE padrão no repositório GIT do Projeto, como é de costume, para que os métodos de exploração da vulnerabilidade não pudessem ser explorados por pessoas mal intencionadas.

Versões afetadas

Este erro afeta as versões anteriores a 9.4 que permitem a opção de usar abertura de chamados sem o recurso de Texto Rico (recursos html e imagens na abertura de chamados).

Solução

Embora seja um erro crítico que pode permitir ao atacante obter informações de forma indevida a seu sistema ou até mesma apagar sua base de dados, dependendo do ambiente, sua solução é bastante simples e pode ser feita sem a manipulação de qualquer código. Tornando necessário apenas realizar ajustes no sistema.

Para solucionar o problema, basta ativar o recurso Texto Rico no sistema. Abaixo, apresentamos como executar isso no seu ambiente:

Passo 1 – Acesse o seu sistema com uma conta de administrador

Passo 2 – Selecione: Menu principal > Configurar > Geral

3 – Agora, acesse a aba “Assistência” e marque a opção “Usar texto rico para helpdesk” como “SIM”. Feito isso, basta clicar em no botão “Salvar” e sua base não estará mais vulnerável.

Esperamos que tenhamos contribuído com este pequeno post e que isso lhe ajude a evitar problemas no futuro.

Deixe o seu comentário

Quer receber nossas atualizações com conteúdos exclusivos?

Deixe seu contato

Mais artigos para você explorar

Como instalar o Grafana
GLPI

Como instalar o Grafana

Aprenda com este novo #pulo da #gataVerde como instalar o Grafana, um dos visualizadores de dados opensource mais usados e eficiente do mundo.
Post atualizo com correção de BUG de segurança. Recomendamos a atualização URGENTE em ambientes de produção.

GLPI

Como instalar GLPi 10

Aprenda de forma rápida e direta a instalar o GLPi 10 em um GNU/Linux Debian 11. Recentemente foi liberada pela Teclib a nova versão do GLPi, a 10. Veja nosso artigo e aprenda a sair na frente.