Vulnérabilité dans le logiciel de gestion informatique GLPI
Date de publication :
CVE-2021-3486 [Score CVSS v3 : 6.1]
Une vulnérabilité au sein de la gestion des plugins dans GLPi a été corrigée. Cette faille est due au fait que le logiciel n'assainit pas les données fournies en entrée par les utilisateurs.
Pendant le processus d'installation des plugins, GLPI lit le fichier setup.php des plugins pour afficher des informations telles que l'auteur, la version du plugin, la licence, etc. GLPI charge le plugin en utilisant le fichier setup.php sans en vérifier le contenu. Il est donc possible pour un attaquant distant et non authentifié d'insérer du code JavaScript au sein du code des plugins afin de perpétrer une attaque de type cross-site scripting.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 6.1
Existence d’un code d’exploitation
- Plusieurs preuves d’exploitation sont disponibles en référence de bulletin
Composants vulnérables
- GLPI version 9.5.4
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour GLPI vers la version 9.5.5 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.