Vulnérabilités dans GLPI
Date de publication :
CVE-2020-27662[Score CVSS v3 : 4.3] : Une vulnérabilité a été découverte puis corrigée dans GLPI. Cette dernière peut permettre à un utilisateur authentifié (au minimum avec les niveaux de privilèges “self_service”) et distant de consulter n’importe quelle table des bases de données de GLPI (comme glpi_tickets et glpi_users).
CVE-2020-27663 [Score CVSS v3 : 4.3] : Une vulnérabilité a été découverte puis corrigée dans GLPI. Cette dernière peut permettre à un utilisateur authentifié (au minimum avec les niveaux de privilèges “self_service”) et distant de consulter les données de n’importe quel type d’objet (“Users”, “Tickets”, etc.).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Extraction de données sensibles
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 4.3
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation publiquement.
- Néanmoins ces vulnérabilités restent très simples à exploiter.
Composants vulnérables
- GLPI (<v9.5.3)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour de GLPI vers la version 9.5.3 ici.
Solution de contournement
Aucune solution de contournement n’a été proposée publiquement à ce jour.