Un service WAF cloud en France (cybersécurité)
S'abonner

GLPI : 10 failles de sécurité et 4 vulnérabilités dans la version 10

Vulnérabilité GLPI

Une nouvelle mise à jour est disponible depuis le 25 septembre, sous la forme d'une version mineure, la 10.0.10.

Bien qu'annoncée initialement comme peu importante, cette mise à jour publiée par les développeurs corrige au total 10 failles, dont 4 vulnérabilités importantes et une vulnérabilité critique. Voici les détails du correctif publié sur le site GLPI.

GLPI pour gérer votre parc informatique

GLPI (Gestionnaire libre de parc informatique) est une solution open-source de gestion de parc informatique et de service desk. Il permet de centraliser la gestion des actifs matériels et logiciels, ainsi que la gestion des tickets d'assistance. GLPI offre des fonctionnalités telles que l'inventaire automatique, la gestion des contrats, la planification des tâches et la création de rapports. Cet outil contribue à optimiser l'efficacité opérationnelle des équipes IT en facilitant le suivi des ressources, la résolution des incidents et la gestion des changements. Avec une interface conviviale, GLPI est adapté aux besoins des entreprises pour assurer une gestion efficace de leur infrastructure informatique.

10 failles au total...

Les versions impactées sont toutes les versions antérieures à la 10.0.10.

La CVE-2023-42802 est la faille de sécurité critique. Pour faire simple, la faille permet à une personne non authentifiée de télécharger et d'exécuter des fichiers PHP sur le serveur. Cela est dû à une faille dans la création d'objets, permettant à un attaquant d'accéder à des dossiers non autorisés. Cette vulnérabilité pourrait compromettre la sécurité du système en autorisant des manipulations de fichiers non autorisées.

Mise à part cette faille, trois autres vulnérabilités de sécurité importantes permettent de prendre le contrôle d'un compte :

CVE-2023-41320, via une injection SQL dans l'interface des préférences
CVE-2023-41326, via la fonctionnalité Kanban
CVE-2023-41324, via l'API de GLPI.

Voici les autres vulnérabilités mineures corrigées avec la mise à jour :

CVE-2023-42462 : suppression de fichiers lors du téléchargement de documents sur GLPI
CVE-2023-41322 : élévation de privilèges du rôle technicien vers administrateur
CVE-2023-41323 : énumération des utilisateurs de GLPI sans être authentifié
CVE-2023-41888 : exploitation de la page de connexion dans une campagne de phishing

Ces failles peuvent conduire à des implications sérieuses pour la sécurité des données. Un attaquant pourrait potentiellement accéder à des informations sensibles, modifier des données ou effectuer des actions non autorisées dans GLPI. Cela pourrait entraîner une violation de données, une interruption des opérations commerciales ou d'autres conséquences pénalisantes pour l'entreprise.

Le correctif est déjà disponible

Pour corriger cette faille de sécurité, il est impératif de mettre à jour GLPI à la dernière version disponible (10.0.10). Ces failles de sécurité sont corrigés avec la dernière version du logiciel. Pour avoir une vue d'ensemble sur la surveillance de votre GLPI, il est également possible de visualiser les journaux du système afin de détecter toute activité suspecte.

ProtectMy.Site est une solution WAF (Web Application Firewall) qui permet de renforcer la sécurité en interdisant l'accès à la page d'interface d'administration des applications web et donc de bloquer toutes tentatives d'injections SQL et les failles 0-day.
Comment ProtectMy.site peut vous aider à sécuriser GLPI ?