Detectado Bug de Segurança no GLPi

Compartilhe esse post

Nesta semana, nossa equipe de testes e desenvolvimento descobriu um BUG grave no sistema GLPi que permite a manipulação e injeção de código SQL de forma maliciosa por parte de um atacante.

NOTA IMPORTANTE
Os Clientes do serviço GLPi em nuvem da Verdanatech já estão seguros quanto a este risco desde sua descoberta.

Por questões de segurança, não comentaremos como o ataque funciona. Mas, fazendo valer os princípios e valores praticados pela Verdanatech, mantendo total transparência e respeito a nosso compromisso com a Comunidade de usuários do sistema GLPi no Brasil e no mundo e, principalmente com nossos Clientes, tornamos público por meio desta Nota a existência do Risco de Segurança, bem como a sua eliminação.

Ações já realizadas

Ao mapear o incidente e entender que trata-se de Grande Impacto, a Verdanatech contatou diretamente os desenvolvedores oficiais do Projeto GLPi para relato do BUG e de seu risco.

Tomamos como decisão não abrir uma ISSUE padrão no repositório GIT do Projeto, como é de costume, para que os métodos de exploração da vulnerabilidade não pudessem ser explorados por pessoas mal intencionadas.

Versões afetadas

Este erro afeta as versões anteriores a 9.4 que permitem a opção de usar abertura de chamados sem o recurso de Texto Rico (recursos html e imagens na abertura de chamados).

Solução

Embora seja um erro crítico que pode permitir ao atacante obter informações de forma indevida a seu sistema ou até mesma apagar sua base de dados, dependendo do ambiente, sua solução é bastante simples e pode ser feita sem a manipulação de qualquer código. Tornando necessário apenas realizar ajustes no sistema.

Para solucionar o problema, basta ativar o recurso Texto Rico no sistema. Abaixo, apresentamos como executar isso no seu ambiente:

Passo 1 – Acesse o seu sistema com uma conta de administrador

Passo 2 – Selecione: Menu principal > Configurar > Geral

3 – Agora, acesse a aba “Assistência” e marque a opção “Usar texto rico para helpdesk” como “SIM”. Feito isso, basta clicar em no botão “Salvar” e sua base não estará mais vulnerável.

Esperamos que tenhamos contribuído com este pequeno post e que isso lhe ajude a evitar problemas no futuro.

Deixe o seu comentário

Quer receber nossas atualizações com conteúdos exclusivos?

Deixe seu contato

Mais artigos para você explorar

A nova interface do GLPi 10
GLPi 10

Perdendo o medo do GLPi 10: A nova Interface

Conheça em detalhes as principais novidades e diferenças na interface gráfica do GLPi 10.0 em comparação com a verão 9.5 e anteriores para te deixar mais tranquilo com o processo de atualização e mudança do sistema, além de alguns detalhes sobre os plugins da Verdanatech presente em todas as instâncias Verdanadesk.

Halexsandro de Freitas Sales 16 de março de 2023
Como instalar o Grafana
GLPI

Como instalar o Grafana

Aprenda com este novo #pulo da #gataVerde como instalar o Grafana, um dos visualizadores de dados opensource mais usados e eficiente do mundo.
Post atualizo com correção de BUG de segurança. Recomendamos a atualização URGENTE em ambientes de produção.

Halexsandro de Freitas Sales 11 de março de 2023