O TecMundo recebeu um alerta na tarde desta quarta-feira (10) avisando sobre uma vulnerabilidade presente no GLPI, um sistema gratuito de Gerenciamento de Ativos de TI, sistema de rastreamento de problemas e central de atendimento. Milhares de empresas utilizam o sistema e ele está vulnerável na versão 9.3.X.
A vulnerabilidade permite o acesso irrestrito aos arquivos anexos aos chamados, problemas, base de conhecimento etc, afirma o pesquisador de segurança e pentester Ado Cardoso da Silva. “Identifiquei que a única condição para que essa falha possa ser explorada é que o parâmetro de configuração do GLPI "Acesso anônimo ao FAQ" esteja habilitado”, diz o pesquisador.
Desatualizado, cibercriminosos podem explorar documentos com possíveis informações confidenciais
A TECLib, responsável pelo GLPI, foi informada da vulnerabilidade. Em resposta ao pesquisador, a empresa afirma que a falha é conhecida e que já foi corrigida na versão 9.4.x e superiores do sistema.
Um sistema como este, desatualizado, permite que cibercriminosos explorem documentos com possíveis informações confidenciais.
Dados que se referem às URI's vulneráveis não serão publicados, como os Dorks do Google utilizados nos testes pelo pesquisador, para que não ocorra uma exploração em massa.
- Para atualizar o GLPI, acesse o Github linkado para realizar o download
Categorias