Vulnérabilités dans GLPI
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans GLPI, un logiciel de gestion de services. Elles peuvent permettre à un attaquant de provoquer une atteinte à la confidentialité et à l’intégrité des données.
CVE-2020-15175 [Score CVSS v3 : 7.4] : Une vulnérabilité pouvant permettre un accès non autorisé à des fichiers et dossiers a été découverte dans GLPI. Elle peut permettre à un attaquant d'accéder à des fichiers de journalisation, des sessions utilisateurs ou des jetons administrateurs via l’utilisation d’une image ayant des paramètres spécialement conçus pour supprimer le fichier .htaccess.
CVE-2020-15176 [Score CVSS v3 : 8.7] : Une vulnérabilité pouvant permettre une injection SQL a été découverte dans GLPI. Elle peut permettre à un attaquant de provoquer une fuite d’informations sensibles tels que des mots de passe ou des informations personnelles.
CVE-2020-15177 [Score CVSS v3 : 8.0] : Une vulnérabilité pouvant permettre une attaque XSS a été découverte dans GLPI. Elle peut permettre à un attaquant de provoquer une fuite d’informations sensibles tels que des mots de passe ou des informations personnelles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité et à l’intégrité des données
Criticité
- Score CVSS v3 : 8.7 max
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement
Composants vulnérables
- GLPI toute version avant la 9.5.2
CVE
- CVE-2020-15175
- CVE-2020-15176
- CVE-2020-15177
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GLPI vers la version 9.5.2
Solution de contournement
Aucune solution de contournement