Refine your search
12 vulnerabilities found for GLPI by GLPI
CERTFR-2025-AVI-0735
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans GLPI. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions 10.0.x ant\u00e9rieures \u00e0 10.0.19",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-53105",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-53105"
}
],
"initial_release_date": "2025-08-28T00:00:00",
"last_revision_date": "2025-08-28T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0735",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-08-28T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans GLPI. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Vuln\u00e9rabilit\u00e9 dans GLPI",
"vendor_advisories": [
{
"published_at": "2025-08-27",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-334r-2682-95wc",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-334r-2682-95wc"
}
]
}
CERTFR-2025-AVI-0632
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans GLPI. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et une falsification de requêtes côté serveur (SSRF).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "glpi versions ant\u00e9rieures \u00e0 10.0.19",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-53357",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-53357"
},
{
"name": "CVE-2025-53112",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-53112"
},
{
"name": "CVE-2025-52567",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-52567"
},
{
"name": "CVE-2025-53008",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-53008"
},
{
"name": "CVE-2025-27514",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-27514"
},
{
"name": "CVE-2025-53111",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-53111"
},
{
"name": "CVE-2025-53113",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-53113"
},
{
"name": "CVE-2025-52897",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-52897"
}
],
"initial_release_date": "2025-07-30T00:00:00",
"last_revision_date": "2025-07-30T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0632",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-07-30T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Falsification de requ\u00eates c\u00f4t\u00e9 serveur (SSRF)"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans GLPI. Certaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es, une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es et une falsification de requ\u00eates c\u00f4t\u00e9 serveur (SSRF).",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-x9mj-822q-6cf8",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-x9mj-822q-6cf8"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-52h8-76ph-4j9q",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-52h8-76ph-4j9q"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-jh8j-gqxc-6gqj",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-jh8j-gqxc-6gqj"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-rp7w-6343-3m2r",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-rp7w-6343-3m2r"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-p665-mqcr-j96j",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-p665-mqcr-j96j"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-r2mm-6499-4m8j",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-r2mm-6499-4m8j"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-5mp6-mgmh-vrq7",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-5mp6-mgmh-vrq7"
},
{
"published_at": "2025-07-29",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-6whm-q2rp-prqm",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-6whm-q2rp-prqm"
}
]
}
CERTFR-2025-AVI-0219
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans GLPI. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions ant\u00e9rieures \u00e0 10.0.18",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-24801",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-24801"
},
{
"name": "CVE-2025-21619",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-21619"
},
{
"name": "CVE-2025-24799",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-24799"
}
],
"initial_release_date": "2025-03-19T00:00:00",
"last_revision_date": "2025-03-19T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0219",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-03-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans GLPI. Elles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance et un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2025-03-18",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-pcmc-xv3g-hjxv",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-pcmc-xv3g-hjxv"
},
{
"published_at": "2025-03-18",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-g2p3-33ff-r555",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-g2p3-33ff-r555"
},
{
"published_at": "2025-03-18",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-jv89-g7f7-jwfg",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-jv89-g7f7-jwfg"
}
]
}
CERTFR-2025-AVI-0162
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans GLPI. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions ant\u00e9rieures \u00e0 10.0.18",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-25192",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-25192"
},
{
"name": "CVE-2025-23046",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-23046"
},
{
"name": "CVE-2025-21626",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-21626"
},
{
"name": "CVE-2025-21627",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-21627"
},
{
"name": "CVE-2024-11955",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-11955"
},
{
"name": "CVE-2025-23024",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-23024"
}
],
"initial_release_date": "2025-02-26T00:00:00",
"last_revision_date": "2025-02-26T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0162",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-02-26T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans GLPI. Elles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es, une injection de code indirecte \u00e0 distance (XSS) et un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2025-02-25",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-5vvr-pxwf-3w77",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-5vvr-pxwf-3w77"
},
{
"published_at": "2025-02-25",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-vfxc-qg3v-j2r5",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-vfxc-qg3v-j2r5"
},
{
"published_at": "2025-02-25",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-885x-hvp2-85q8",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-885x-hvp2-85q8"
},
{
"published_at": "2025-02-25",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-qm8p-jmj2-qfc2",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-qm8p-jmj2-qfc2"
},
{
"published_at": "2025-02-25",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-g5fm-jq4j-c2c7",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-g5fm-jq4j-c2c7"
},
{
"published_at": "2025-02-25",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-86cx-hcfc-8mm8",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-86cx-hcfc-8mm8"
}
]
}
CERTFR-2024-AVI-1064
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans GLPI. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions ant\u00e9rieures \u00e0 10.0.17",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-50339",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-50339"
},
{
"name": "CVE-2024-47760",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-47760"
},
{
"name": "CVE-2024-47761",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-47761"
},
{
"name": "CVE-2024-48912",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-48912"
},
{
"name": "CVE-2024-47758",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-47758"
}
],
"initial_release_date": "2024-12-11T00:00:00",
"last_revision_date": "2024-12-11T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-1064",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-12-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans GLPI. Certaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer une \u00e9l\u00e9vation de privil\u00e8ges, une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2024-12-11",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-v977-g4r9-6r72",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-v977-g4r9-6r72"
},
{
"published_at": "2024-12-11",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-x794-564w-vgxx",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-x794-564w-vgxx"
},
{
"published_at": "2024-12-11",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-vjmw-j32j-ph4f",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-vjmw-j32j-ph4f"
},
{
"published_at": "2024-12-11",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-3r4x-6pmx-phwr",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-3r4x-6pmx-phwr"
},
{
"published_at": "2024-12-11",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-r3mx-fr5f-gwgp",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-r3mx-fr5f-gwgp"
}
]
}
CERTFR-2024-AVI-0996
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans GLPI. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions ant\u00e9rieures \u00e0 10.0.17",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-41678",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-41678"
},
{
"name": "CVE-2024-45611",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-45611"
},
{
"name": "CVE-2024-43416",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-43416"
},
{
"name": "CVE-2024-43417",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-43417"
},
{
"name": "CVE-2024-41679",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-41679"
},
{
"name": "CVE-2024-45609",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-45609"
},
{
"name": "CVE-2024-40638",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-40638"
},
{
"name": "CVE-2024-45610",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-45610"
},
{
"name": "CVE-2024-43418",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-43418"
},
{
"name": "CVE-2024-45608",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-45608"
},
{
"name": "CVE-2024-47759",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-47759"
}
],
"initial_release_date": "2024-11-18T00:00:00",
"last_revision_date": "2024-11-18T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0996",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-11-18T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans GLPI. Certaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance, une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une injection de code indirecte \u00e0 distance (XSS).",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-x8jv-fcwx-3x6m",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-x8jv-fcwx-3x6m"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-8843-r3m7-gfqx",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-8843-r3m7-gfqx"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-vvr8-chwj-9m4c",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-vvr8-chwj-9m4c"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-p633-wfj5-8x44",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-p633-wfj5-8x44"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-j73h-x6j3-m479",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-j73h-x6j3-m479"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-3j2f-3j4v-hppr",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-3j2f-3j4v-hppr"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-xwmx-mmrf-hqf9",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-xwmx-mmrf-hqf9"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-hq9q-jfhp-qqgm",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-hq9q-jfhp-qqgm"
},
{
"published_at": "2024-11-17",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-j8gc-xpgr-2ww7",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-j8gc-xpgr-2ww7"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-67p8-v79j-jp86",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-67p8-v79j-jp86"
},
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-474f-9vpp-xxq5",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-474f-9vpp-xxq5"
}
]
}
CERTFR-2024-AVI-0566
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans GLPI. lles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "glpi versions post\u00e9rieures \u00e0 0.84 et ant\u00e9rieures \u00e0 10.0.16",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-37147",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-37147"
},
{
"name": "CVE-2024-37149",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-37149"
},
{
"name": "CVE-2024-37148",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-37148"
}
],
"initial_release_date": "2024-07-11T00:00:00",
"last_revision_date": "2024-07-11T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0566",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-07-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans GLPI. lles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance et une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2024-07-10",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-f2cg-fc85-ffmh",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-f2cg-fc85-ffmh"
},
{
"published_at": "2024-07-10",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-p626-hph9-p6fj",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-p626-hph9-p6fj"
},
{
"published_at": "2024-07-10",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-cwvp-j887-m4xh",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-cwvp-j887-m4xh"
}
]
}
CERTFR-2024-AVI-0369
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits GLPI. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "glpi versions post\u00e9rieures \u00e0 9.3.0 et ant\u00e9rieures \u00e0 10.0.15",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-31456",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-31456"
},
{
"name": "CVE-2024-29889",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-29889"
}
],
"initial_release_date": "2024-05-07T00:00:00",
"last_revision_date": "2024-05-07T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0369",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-05-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits GLPI\u003c/span\u003e. Elles permettent \u00e0 un attaquant\nde provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits GLPI",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-8xvf-v6vv-r75g du 07 mai 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-8xvf-v6vv-r75g"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-gcj4-2cp3-6h5j du 07 mai 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-gcj4-2cp3-6h5j"
}
]
}
CERTFR-2024-AVI-0255
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans GLPI. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions 0.65 \u00e0 10.x ant\u00e9rieures \u00e0 10.0.13",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-27096",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27096"
}
],
"initial_release_date": "2024-03-28T00:00:00",
"last_revision_date": "2024-03-28T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0255",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-03-28T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans GLPI. Elle permet \u00e0 un attaquant\nde provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans GLPI",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-2x8m-vrcm-2jqv du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-2x8m-vrcm-2jqv"
}
]
}
CERTFR-2024-AVI-0231
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits GLPI. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), une atteinte à la confidentialité des données et une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneReferences
| Title | Publication Time | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions ant\u00e9rieures \u00e0 10.0.13",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-27914",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27914"
},
{
"name": "CVE-2024-27930",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27930"
},
{
"name": "CVE-2024-27098",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27098"
},
{
"name": "CVE-2024-27937",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27937"
},
{
"name": "CVE-2024-27104",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27104"
},
{
"name": "CVE-2024-27096",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-27096"
}
],
"initial_release_date": "2024-03-19T00:00:00",
"last_revision_date": "2024-03-19T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0231",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-03-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits GLPI\u003c/span\u003e. Elles permettent \u00e0 un attaquant\nde provoquer une injection de code indirecte \u00e0 distance (XSS), une\natteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une ex\u00e9cution de code\narbitraire \u00e0 distance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits GLPI",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-prc3-cx5m-h5mj du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-prc3-cx5m-h5mj"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-rcxj-fqr4-q34r du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-rcxj-fqr4-q34r"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-98qw-hpg3-2hpj du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-98qw-hpg3-2hpj"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-2x8m-vrcm-2jqv du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-2x8m-vrcm-2jqv"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-82vv-j9pr-qmwq du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-82vv-j9pr-qmwq"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-92x4-q9w5-837w du 18 mars 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-92x4-q9w5-837w"
}
]
}
CERTFR-2024-AVI-0087
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits GLPI. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneReferences
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions ant\u00e9rieures \u00e0 10.0.12",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-23645",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-23645"
},
{
"name": "CVE-2023-51446",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-51446"
}
],
"initial_release_date": "2024-02-01T00:00:00",
"last_revision_date": "2024-02-01T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0087",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-02-01T00:00:00.000000"
}
],
"risks": [
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits GLPI\u003c/span\u003e. Elles permettent \u00e0 un attaquant\nde provoquer un contournement de la politique de s\u00e9curit\u00e9, une atteinte\n\u00e0 la confidentialit\u00e9 des donn\u00e9es et une injection de code indirecte \u00e0\ndistance (XSS).\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits GLPI",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-2gj5-qpff-ff3x du 01 f\u00e9vrier 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-2gj5-qpff-ff3x"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 GLPI GHSA-p995-jmfv-c7r8 du 01 f\u00e9vrier 2024",
"url": "https://github.com/glpi-project/glpi/security/advisories/GHSA-p995-jmfv-c7r8"
}
]
}
CERTFR-2022-ALE-010
Vulnerability from certfr_alerte
Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test htmLawedTest.php et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance.
La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API.
Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de ces vulnérabilités.
Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE-2022-35914.
DÉTECTION
Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes :
- /vendor/htmlawed/htmlawed/htmLawedTest.php
- /vendor/htmlawed/htmlawed/404.php
- /vendor/
Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et doivent donc faire l'objet d'une attention particulière :
- /redistest.php
- /css/Arui.php
- /css/legacy/Arui.php
- /css/legacy/Arui1.php
Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis.
Le CERT-FR tient à rappeler plusieurs points importants :
- Les produits tels que GLPI ne devraient pas être exposés sur Internet.
- En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises en œuvre [1].
- Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à ce type de dossier.
- Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par le biais des configurations sur le serveur Web.
En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [2].
Contournement provisoire
S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :
- de désactiver l’option Enable login with external token dans le menu de configuration de l’API ;
- de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
References
| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "GLPI versions 9.5.x ant\u00e9rieures \u00e0 9.5.9",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
},
{
"description": "GLPI versions 10.0.x versions ant\u00e9rieures \u00e0 10.0.3",
"product": {
"name": "GLPI",
"vendor": {
"name": "GLPI",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2023-03-14",
"content": "## Contournement provisoire\n\nS\u0027il n\u0027est pas possible de d\u00e9ployer le correctif rapidement, il est\nfortement recommand\u00e9 :\n\n- de d\u00e9sactiver l\u2019option *Enable login with external token* dans le\n menu de configuration de l\u2019API ;\n- de supprimer le fichier */vendor/htmlawed/htmlawed/htmLawedTest.php*\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-35947",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-35947"
},
{
"name": "CVE-2022-35914",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-35914"
}
],
"initial_release_date": "2022-10-07T00:00:00",
"last_revision_date": "2023-03-14T00:00:00",
"links": [
{
"title": "[2] Bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information",
"url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
},
{
"title": "[1] Guide ANSSI pour la s\u00e9curisation des services expos\u00e9s sur Internet",
"url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
},
{
"title": "Bulletin d\u0027actualit\u00e9 CERTFR-2022-ACT-041 du 20 septembre 2022",
"url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/"
}
],
"reference": "CERTFR-2022-ALE-010",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-10-07T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2023-03-14T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Le 14 septembre 2022, l\u0027\u00e9diteur de GLPI (Gestionnaire Libre de Parc\nInformatique) a d\u00e9clar\u00e9 plusieurs vuln\u00e9rabilit\u00e9s sur le produit, dont\ndeux critiques. Elles permettent \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance et un contournement de la\npolitique de s\u00e9curit\u00e9.\n\nLa vuln\u00e9rabilit\u00e9 r\u00e9f\u00e9renc\u00e9e par l\u0027identifiant CVE-2022-35914 affecte\nbiblioth\u00e8que tierce - *htmLawed* - qui est embarqu\u00e9e par GLPI. Elle est\ndue \u00e0 la pr\u00e9sence d\u2019un fichier de test *htmLawedTest.php* et permet \u00e0 un\nattaquant non authentifi\u00e9 d\u2019ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nLa seconde vuln\u00e9rabilit\u00e9 immatricul\u00e9e CVE-2022-35947 permet \u00e0 un\nattaquant de r\u00e9aliser une injection SQL afin d\u0027obtenir une connexion\navec n\u2019importe quel utilisateur ayant au pr\u00e9alable d\u00e9fini une cl\u00e9 API.\n\nLe CERT-FR a publi\u00e9 un bulletin d\u0027actualit\u00e9 le 20 septembre 2022 afin de\nsignaler l\u0027existence de ces vuln\u00e9rabilit\u00e9s.\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003eLe CERT-FR a connaissance de nombreux\nincidents li\u00e9s \u00e0 l\u0027exploitation de la vuln\u00e9rabilit\u00e9 immatricul\u00e9e\nCVE-2022-35914.\u003c/strong\u003e\u003c/span\u003e\n\n## \u003cstrong\u003eD\u00c9TECTION\u003c/strong\u003e\n\nIl est recommand\u00e9 d\u0027effectuer une v\u00e9rification des journaux \u00e0 la\nrecherche de tentatives d\u0027acc\u00e8s aux ressources suivantes :\n\n- */vendor/htmlawed/htmlawed/htmLawedTest.php*\n- */vendor/htmlawed/htmlawed/404.php*\n- */vendor/*\n\nPar ailleurs, des requ\u00eates vers les ressources suivantes peuvent \u00eatre en\nlien avec l\u2019attaque et doivent donc faire l\u0027objet d\u0027une attention\nparticuli\u00e8re :\n\n- */redistest.php*\n- */css/Arui.php*\n- */css/legacy/Arui.php*\n- */css/legacy/Arui1.php*\n\nSi ces requ\u00eates sont observ\u00e9es, il sera alors n\u00e9cessaire d\u0027effectuer une\nv\u00e9rification suppl\u00e9mentaire \u00e0 la recherche de fichiers malveillants\n\u00e9ventuellement d\u00e9pos\u00e9s par un attaquant pour lui permettre de maintenir\nun acc\u00e8s au syst\u00e8me compromis.\n\nLe CERT-FR tient \u00e0 rappeler plusieurs points importants :\n\n- Les produits tels que GLPI ne devraient pas \u00eatre expos\u00e9s sur\n Internet.\n- En cas d\u0027obligation d\u0027acc\u00e8s depuis l\u0027ext\u00e9rieur, des mesures de\n s\u00e9curit\u00e9 doivent \u00eatre mises en \u0153uvre \\[1\\].\n- Dans tous les cas, le dossier */vendor/* qui contient les\n biblioth\u00e8ques tierces ne devrait pas \u00eatre publiquement accessible\n depuis Internet. Un tel dossier doit \u00eatre d\u00e9plac\u00e9 en dehors de la\n racine du serveur Web de fa\u00e7on \u00e0 pr\u00e9venir tout acc\u00e8s par adressage\n direct aux fichiers pr\u00e9sents dans ce dossier. Il n\u0027existe aucune\n raison l\u00e9gitime qui justifierait qu\u0027un visiteur puisse avoir acc\u00e8s \u00e0\n ce type de dossier.\n- Enfin, des restrictions d\u0027acc\u00e8s direct sur le dossier */vendor/*\n doivent-\u00eatre mises en place par le biais des configurations sur le\n serveur Web.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les\n[bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me\nd\u0027information](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/)\n\\[2\\].\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
"vendor_advisories": [
{
"published_at": "2022-09-14",
"title": "Bulletin de s\u00e9curit\u00e9 GLPI",
"url": "https://github.com/glpi-project/glpi/security/advisories"
}
]
}