Vulnérabilités dans GLPI
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans GLPI, un logiciel de gestion de services informatiques. Elles peuvent permettre à un attaquant distant et authentifié de provoquer une injection de script malveillant.
CVE-2020-11035 [Score CVSS v3 : 7.5] : Dans GLPI, les jetons anti-CSRF (cross-site request forgery) sont générés avec des algorithmes de chiffrement considérés comme trop faibles à l'heure actuelle. Cette vulnérabilité a été corrigée dans la version 9.4.6 de GLPI.
CVE-2020-11036 [Score CVSS v3 : 7.6] : Plusieurs vulnérabilités pouvant mener à une attaque XSS de second ordre (stored XSS) ont été découvertes. Elles peuvent permettre à un attaquant distant de provoquer une injection de script malveillant.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de script malveillant
Criticité
- Score CVSS v3 : 7.6 max
Existence d’un code d’exploitation
- Des explications suffisamment détaillées sont disponibles pour pouvoir exploiter ces vulnérabilités
Composants vulnérables
- GLPI toutes versions avant la 9.4.6
CVE
- CVE-2020-11035
- CVE-2020-11036
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GLPI vers la version 9.4.6
Solution de contournement
Aucune solution de contournement n’est disponible