CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-30144
https://notcve.org/view.php?id=CVE-2021-30144
The Dashboard plugin through 1.0.2 for GLPI allows remote low-privileged users to bypass access control on viewing information about the last ten events, the connected users, and the users in the tech category. For example, plugins/dashboard/front/main2.php can be used. El plugin Dashboard versiones hasta 1.0.2 para GLPI, permite a usuarios remotos poco privilegiados omitir un control de acceso en visualizar información sobre los últimos diez eventos, los usuarios conectados y los usuarios en la categoría de tecnología. Por ejemplo, puede ser usado un archivo plugins/dashboard/front/main2.php • https://github.com/Kitsun3Sec/exploits/tree/master/cms/GLPI/dashboard-plugin https://plugins.glpi-project.org/#/plugin/dashboard • CWE-425: Direct Request ('Forced Browsing') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12530
https://notcve.org/view.php?id=CVE-2019-12530
Incorrect access control was discovered in the stdonato Dashboard plugin through 0.9.7 for GLPI, affecting df.php, issue.php, load.php, mem.php, traf.php, and uptime.php in front/sh. Se descubrió un control de acceso incorrecto en el Plugin stdonato de Dashboard hasta la vesión 0.9.7 para GLPI, afectando a df.php, issue.php, load.php, mem.php, traf.php y uptime.php en front/sh. • https://github.com/stdonato/glpi-dashboard/commit/3a89f0085a221d7ad76d1104df6df6c634bd7f14 • CWE-287: Improper Authentication •