Vulnérabilité dans GLPI
Date de publication :
CVE-2021-21326 [Score CVSS v3 : 6.5] : GLPI est un logiciel libre de gestion des biens et des technologies de l'information qui offre des fonctionnalités ITIL Service Desk, le suivi des licences et l'audit des logiciels. Dans GLPI, il est possible de créer des tickets pour un autre utilisateur avec une interface libre-service sans que les systèmes de délégation soient activés. Cette faille peut permettre à un attaquant distant et authentifié d’élever ses privilèges sur le dispositif vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
Criticité
- Score CVSS v3 : 6.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
- Les versions de GLPI antérieures à 9.5.4 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GLPI vers la version 9.5.4 ou ultérieure.
Solution de contournement
Aucune solution de contournement n’est disponible à l’heure actuelle.