Aller au contenu

Votre serveur GLPI exposé à une faille critique ?

Breizh Cyber a connaissance de quatre vulnérabilités au sein de GLPI.  Leur exploitation pourrait permettre à un attaquant de manipuler des données, voire de prendre le contrôle du système.

Prise de contrôle d’un système et manipulation de données


GLPI est un progiciel gratuit de gestion d’actifs et de gestion informatique. À partir de la version 10.0.7 et antérieure à la version 10.0.10, cette première vulnérabilité (CVE-2023-42802) permet de télécharger des fichiers PHP malveillants dans des répertoires indésirables. En fonction de la configuration du serveur Web, les fichiers PHP malveillants peuvent ensuite être exécutés par le biais d’une requête du serveur Web.

Le 13 décembre 2023, trois nouvelles vulnérabilités sont publiées. Tout comme la première, leur exploitation permet à un attaquant de prendre le contrôle du système.

GLPI Project recommande l’installation de la version 10.0.11.

Retrouvez plus d’informations sur OpenCVE.

L’équipe Breizh Cyber reste à votre disposition

Partager :

Abonnez-vous à la newsletter
Breizh Cyber