Multiples vulnérabilités critiques dans GLPI
Date de publication :
GLPI est une solution sous licence libre de gestion de parc informatique.
CVE-2022-35947[Score CVSS v3.1:10] (critique)
Une faille dans GLPI permet à un attaquant d’injecter une requête SQL dans le processus d'authentification, simulant une connexion arbitraire sur le système.
CVE-2022-31187[Score CVSS v3.1: 8.2]
Une vérification insuffisante des données envoyées par l’utilisateur dans le « global search context » permet à un attaquant distant et authentifié, en injectant du code malveillant sur un site web et en persuadant une victime à le visiter, d’exécuter du code arbitraire sur la machine de la victime afin de récupérer son cookie d’authentification.
CVE-2022-35945[Score CVSS v3.1: 7.1]
Une vérification insuffisante des données envoyées par l’utilisateur dans l’API d’enregistrement permet à un attaquant distant, en persuadant une victime à visiter une URL spécifiquement forgée, d’exécuter du code sur la machine de la victime afin de voler son cookie d’administration GLPI.
CVE-2022-35914[Score CVSS v3.1: 9.8] (critique)
Une neutralisation insuffisante d’éléments spéciaux dans le module htmlawed pour GLPI permet à un attaquant distant d’exécuter du code PHP arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Contournement de la politique de sécurité
- Vol de cookies
Criticité
- Score CVSS v3.1: 10 max
La faille est activement exploitée
- Oui, pour la CVE-2022-35914.
Un correctif existe
- Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Oui, pour les CVE-2022-35947 et CVE-2022-31187.
La vulnérabilité exploitée est du type
- Pour la CVE-2022-35947
CWE-89: Improper Neutralization of Special Elements used in an SQL Command
- Pour les CVE-2022-31187 et CVE-2022-35945
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
- Pour la CVE-2022-35914
CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component
Détails sur l’exploitation
Pour la CVE-2022-35947 et CVE-2022-35914
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-31187
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-35945
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour les CVE-2022-35947, CVE-2022-31187 et CVE-2022-35945
- GLPI dans ses versions supérieures ou égales à la version 9.1 est affecté par ces vulnérabilité.
Pour la CVE-2022-35914
- GLPI dans ses versions antérieures ou égales à la version 10.0.2 est affecté par cette vulnérabilité.
Solutions ou recommandations
Pour l’ensemble des vulnérabilités présentées :
- Mettre à jourGLPI vers la version 10.0.3-0146 ou vers une version supérieure. Des informations complémentaires sont disponiblesici.
Pour la CVE-2022-35947
- Une mesure de contournement existe. Désactiver la configuration de l'API : Enable login with external token.
Pour la CVE-2022-31187
- Une mesure de contournement existe. Désactiver le module « Global Search ».