# GLPI MailCollector 凭据泄露漏洞
## 概述
GLPI(Gestionnaire Libre de Parc Informatique)是一款免费的资产和IT管理软件,提供ITIL服务台功能、许可证跟踪和软件审计。在版本9.3.1至10.0.19之间,存在一个安全漏洞,允许已连接用户通过恶意负载窃取邮件接收者的凭证。
## 影响版本
- 受影响版本:9.3.1 至 10.0.19
## 细节
- 漏洞类型:身份验证凭据窃取
- 攻击条件:攻击者需为已连接用户
- 攻击方式:通过构造恶意 payload 利用邮件接收功能
## 影响
- 攻击者可窃取邮件接收者的身份验证凭据
- 可能导致敏感信息泄露或进一步的系统入侵
## 修复版本
- 漏洞已在版本 10.0.19 中修复
# | POC 描述 | 源链接 | 神龙链接 |
---|
标题: Mail receiver credentials exfiltration · Advisory · glpi-project/glpi · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读暂无评论