Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL
jeudi 14 mars 2024 à 06:00Mercredi 13 mars 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI ! Cette nouvelle version, estampillée 10.0.13, corrige au total 6 failles de sécurité. Faisons le point.
Parmi les 6 failles de sécurité corrigées par l'équipe de développeurs de GLPI, il y a 5 vulnérabilités avec une sévérité modérée et 1 vulnérabilité de type "injection SQL" associée à une sévérité élevée. Au-delà de cette injection SQL, il y a plusieurs vulnérabilités XSS et un problème de sécurité de type SSRF.
Voici la liste des vulnérabilités :
- CVE-2024-27096 (élevée) : injection SQL à travers le moteur de recherche
- CVE-2024-27098 : SSRF aveugle utilisant l’instanciation arbitraire d’objets
- CVE-2024-27104 : XSS stockée dans les tableaux de bord
- CVE-2024-27914 : XSS reflétée en mode debug
- CVE-2024-27930 : Accès à des données sensibles via les listes déroulantes
- CVE-2024-27937 : Énumération des emails des utilisateurs
À première vue, et même si ce n'est pas précisé, il faut que l'attaquant soit connecté sur l'application GLPI pour espérer exploiter l'une de ces vulnérabilités (ceci est une déduction vis-à-vis des fonctionnalités affectées). Néanmoins, il est probable que ces vulnérabilités permettent à un utilisateur standard authentifié d'élever ses privilèges, d'exécuter du code sur le serveur, ou d'accéder à des informations sensibles. Difficile d'être plus précis car Teclic ne fournit pas le moindre détail technique, ni même d'informations sur les risques potentiels.
GLPI : les mises à jour de sécurité s'enchaînent
Depuis le dernier trimestre de l'année 2024, les mises à jour de sécurité s'accumulent, pour GLPI. Tout a commencé au mois d'octobre dernier lorsque Teclib a publié GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Puis, en décembre 2023, la version GLPI 10.0.11 a été publiée pour corriger 3 failles de sécurité (dont deux "injection SQL").
Au mois de février 2024, Teclic a publié GLPI 10.0.12 pour corriger deux failles de sécurité. Cette fois-ci, la nouvelle version permet d'en corriger 6 supplémentaires.
Si vous utilisez GLPI 10, il est temps de passer sur GLPI 10.0.13 pour vous protéger contre une bonne vingtaine de failles de sécurité. J'en profite pour vous annoncer qu'un tutoriel sur la mise à jour de GLPI sera publié dans les prochains jours !
The post Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL first appeared on IT-Connect.