5 vulnérabilités critiques corrigées au sein de GLPI

Cinq vulnérabilités majeures ont été découvertes et corrigées dans GLPI, une solution clé pour la gestion des services IT. Leur exploitation pouvait permettre :

• l’accès à des données sensibles,
• la manipulation ou suppression de données,
• le contournement des restrictions de sécurité,
• l’escalade de privilèges, voire la prise de contrôle de comptes critiques.

 Détails des vulnérabilités corrigées :

• CVE-2024-47761 : exploitation de la fonctionnalité de renouvellement des mots de passe pour accéder à des comptes à haut privilège.
• CVE-2024-48912 : défaut dans la gestion des permissions permettant la suppression de comptes utilisateurs.
• CVE-2024-47760 et CVE-2024-47758 : manque de contrôles sur l’API, permettant à des attaquants authentifiés d’élever leurs privilèges ou de contrôler des comptes.
• CVE-2024-50339 (critique) : injection JavaScript via un lien malveillant, pouvant entraîner le vol de cookies, des redirections vers des sites malveillants ou l’altération de l’interface utilisateur.

Recommandations :

Installez sans attendre la version 10.0.17 de GLPI : GLPI 10.0.17 Release. Par ailleurs, s’agissant d’une application métier interne, et sauf besoin impératif spécifique, il est recommandé de ne pas exposer de serveur GLPI sur Internet, mais de le déployer sur le réseau interne.

Partager :

• Partager cette page sur Linkedin
• Imprimer