漏洞信息
# 公开的 GLPIKEY 可用于解密 GLPI 中的任何数据
## 漏洞概述
GLPI版本9.4.6之前的版本存在一个涉及默认加密密钥的漏洞。GLPIKEY是公开的,用于每个实例。这意味着任何人都可以使用该密钥解密存储的敏感数据。
## 影响版本
- 所有低于9.4.6的版本
## 漏洞细节
GLPIKEY是默认使用的加密密钥,在每个实例中都是相同的,这会导致敏感数据可以被轻易解密。在安装GLPI之前可以更改密钥,但在现有实例中,必须使用新密钥重新加密数据。由于无法确定数据库中的哪些列或行使用了该密钥,尤其是插件使用的部分,因此在未更新数据的情况下更改密钥会引发密码错误,但通过UI重新存储密码则可以正常工作。
## 影响
使用默认密钥存储的数据被轻易解密,可能导致敏感数据泄露。需要手动重新加密数据,确保数据安全。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Public GLPIKEY can be used to decrypt any data in GLPI
漏洞描述信息
GLPI before before version 9.4.6 has a vulnerability involving a default encryption key. GLPIKEY is public and is used on every instance. This means anyone can decrypt sensitive data stored using this key. It is possible to change the key before installing GLPI. But on existing instances, data must be reencrypted with the new key. Problem is we can not know which columns or rows in the database are using that; espcially from plugins. Changing the key without updating data would lend in bad password sent from glpi; but storing them again from the UI will work.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N
漏洞类别
使用硬编码的凭证
漏洞标题
Teclib GLPI 信任管理问题漏洞
漏洞描述信息
Teclib GLPI是法国Teclib公司的一套开源的IT资产管理套件。该套件包含设备状态管理、资产清单存储、管理流程和工作日志管理等功能。 Teclib GLPI 9.4.6之前版本中存在信任管理问题漏洞。该漏洞源于网络系统或产品中缺乏有效的信任管理机制。攻击者可利用默认密码或者硬编码密码、硬编码证书等攻击受影响组件。
CVSS信息
N/A
漏洞类别
信任管理问题