一、 漏洞 CVE-2025-24799 基础信息
漏洞标题
GLPI 通过库存端点允许未认证的SQL注入
来源:AIGC 神龙大模型
漏洞描述信息
GLPI 是一个免费的资产和IT管理软件包。未认证的用户可以通过库存端点执行SQL注入。此漏洞已在10.0.18版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
GLPI allows unauthenticated SQL injection through the inventory endpoint
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GLPI is a free asset and IT management software package. An unauthenticated user can perform a SQL injection through the inventory endpoint. This vulnerability is fixed in 10.0.18.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
GLPI SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GLPI是GLPI开源的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口,你可以用它来建立数据库全面管理IT的电脑,显示器,服务器,打印机,网络设备,电话,甚至硒鼓和墨盒等。 GLPI存在SQL注入漏洞,该漏洞源于库存端点SQL注入,可能导致未经授权的操作。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-24799 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/realcodeb0ss/CVE-2025-24799-PoC POC详情
2 None https://github.com/MuhammadWaseem29/CVE-2025-24799 POC详情
3 A pre-authentication SQL injection vulnerability exists in the Inventory feature of GLPI. The vulnerability is caused by insufficient sanitization of user input in the handleAgent function when processing XML requests. The issue occurs because SimpleXMLElement objects can bypass the dbEscapeRecursive function, allowing an attacker to inject SQL queries. This can lead to unauthorized access to sensitive information in the database, including user credentials and potential authentication bypass. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-24799.yaml POC详情
4 CVE-2025-24799 Exploit: GLPI - Unauthenticated SQL Injection https://github.com/MatheuZSecurity/Exploit-CVE-2025-24799 POC详情
三、漏洞 CVE-2025-24799 的情报信息