Vulnérabilité dans Adressing Plugin de GLPI
Date de publication :
CVE-2021-43779[Score CVSS v3.1: 9.9]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne le programme complémentaire Adressing Plugin du logiciel GLPI. Il est possible d’entrer des données malveillantes pour corrompre le fonctionnement du programme. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire sur le système d’exploitation où est installé le serveur.
GLPI est un logiciel libre qui permet de fournir une aide en tant que gestionnaire de services informatiques au sein d’une entreprise. Le programme complémentaire Adressing Plugin permet de gérer spécifiquement toutes les adresses IP de l’entreprise.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.9
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
- CWE-20 : Improper Input Validation
Détails sur l’exploitation
Pour l’ensemble des CVE présentés :
- Vecteur d’attaque : réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- Les versions de GLPI Adressing Plugin antérieure à la version 2.9.1
Solutions ou recommandations
- Effectuer la mise à jour GLPI Adressing Plugin vers la version 2.9.1.
- Il est possible de désactiver GLPI Adressing Plugin. Plus d’informations sont disponibles ici