CVE-2020-26212
Any GLPI CalDAV calendars is read-only for every authenticated user
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
1Exploited in Wild
-Decision
Descriptions
GLPI stands for Gestionnaire Libre de Parc Informatique and it is a Free Asset and IT Management Software package, that provides ITIL Service Desk features, licenses tracking and software auditing. In GLPI before version 9.5.3, any authenticated user has read-only permissions to the planning of every other user, even admin ones. Steps to reproduce the behavior: 1. Create a new planning with 'eduardo.mozart' user (from 'IT' group that belongs to 'Super-admin') into it's personal planning at 'Assistance' > 'Planning'. 2. Copy the CalDAV url and use a CalDAV client (e.g. Thunderbird) to sync the planning with the provided URL. 3. Inform the username and password from any valid user (e.g. 'camila' from 'Proativa' group). 4. 'Camila' has read-only access to 'eduardo.mozart' personal planning. The same behavior happens to any group. E.g. 'Camila' has access to 'IT' group planning, even if she doesn't belong to this group and has a 'Self-service' profile permission). This issue is fixed in version 9.5.3. As a workaround, one can remove the `caldav.php` file to block access to CalDAV server.
GLPI son las siglas de Gestionnaire Libre de Parc Informatique y es un paquete de software gratuito de gestión de activos y TI, que proporciona funciones de ITIL Service Desk, seguimiento de licencias y auditoría de software. En GLPI antes de la versión 9.5.3, cualquier usuario autenticado tiene permisos de solo lectura para la planificación de todos los demás usuarios, inclusive los administradores. Pasos para reproducir el comportamiento: 1. Cree una nueva planificación con el usuario "eduardo.mozart" (del grupo "TI" que pertenece a "Super-admin'") en su planificación personal en "Assistance" ) "Planning". 2. Copie la URL de CalDAV y utilice un cliente de CalDAV (por ejemplo, Thunderbird) para sincronizar la planificación con la URL proporcionada. 3. Informar el nombre de usuario y la contraseña de cualquier usuario válido (por ejemplo, "camila" del grupo "Proativa"). 4. "Camila" tiene acceso de solo lectura a "eduardo.mozart" planificación personal. El mismo comportamiento le ocurre a cualquier grupo. Por ejemplo, "Camila" tiene acceso a la planificación grupal de "TI", inclusive si no pertenece a este grupo y tiene un permiso de perfil de "Self-service"). Este problema se solucionó en la versión 9.5.3. Como solución alternativa, se puede eliminar el archivo "caldav.php" para bloquear el acceso al servidor CalDAV
CVSS Scores
SSVC
- Decision:-
Timeline
- 2020-10-01 CVE Reserved
- 2020-11-25 CVE Published
- 2023-10-18 EPSS Updated
- 2024-08-04 CVE Updated
- 2024-08-04 First Exploit
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-862: Missing Authorization
CAPEC
References (3)
| URL | Tag | Source |
|---|---|---|
| https://github.com/glpi-project/glpi/releases/tag/9.5.3 | Release Notes |
| URL | Date | SRC |
|---|---|---|
| https://github.com/glpi-project/glpi/security/advisories/GHSA-qmw3-87hr-5wgx | 2024-08-04 |
| URL | Date | SRC |
|---|---|---|
| https://github.com/glpi-project/glpi/commit/527280358ec78988ac57e9809d2eb21fcd74caf7 | 2020-12-07 |
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Glpi-project Search vendor "Glpi-project" | Glpi Search vendor "Glpi-project" for product "Glpi" | < 9.5.3 Search vendor "Glpi-project" for product "Glpi" and version " < 9.5.3" | - |
Affected
| ||||||