23/11/2024
IT-Connect » Actualités » Actu Cybersécurité » GLPI 9.5 et GLPI 10 : deux vulnérabilités critiques, dont une massivement exploitée !

GLPI - CVE-2022-35947 - CVE-2022-35914
Actu CybersécuritéLogiciel - OS

GLPI 9.5 et GLPI 10 : deux vulnérabilités critiques, dont une massivement exploitée !

Florian BURNEL 1 commentaire

Le 14 septembre 2022, l'éditeur Teclib a mis en ligne deux nouvelles versions de GLPI pour corriger deux vulnérabilités critiques, dont l'une qui est massivement exploitée dans le cadre d'attaques depuis le 3 octobre 2022. Faisons le point.

Depuis le 14 septembre 2022, GLPI 9.5.9 et GLPI 10.0.3 sont disponibles au téléchargement et il s'agit d'une mise à jour à installer en urgence sur votre serveur GLPI, notamment si celui-ci est disponible sur Internet, car ces versions corrigent 2 failles critiques.

  • CVE-2022-35947 : vulnérabilité de type "injection SQL" - Score CVSSv3 de 9,8 sur 10
  • CVE-2022-35914 : vulnérabilité de type "exécution de code à distance" - Score CVSSv3 de 9,8 sur 10

D'après Teclib, la vulnérabilité CVE-2022-35914, présente dans la librairie tierce "htmlawed", est massivement exploitée dans le cadre de cyberattaques depuis le 3 octobre 2022, y compris en France où GLPI est très utilisé ! Cette librairie sert à sécuriser les champs de saisie ("input text"). L'éditeur recommande d'installer la mise à jour dès que possible, selon votre version majeure actuelle GLPI 9.5 ou GLPI 10.

Attention, pour effectuer la mise à jour, il faut partir d'un dossier vide et ne pas écraser les fichiers existants de GLPI. Sinon, la nouvelle version censée corriger les failles de sécurité restera vulnérable ! Personnellement, je repars toujours d'un dossier vide pour mettre à jour GLPI afin d'avoir uniquement les fichiers de la version actuelle et ne pas conserver d'anciens fichiers dans les répertoires de GLPI. Ensuite, il faut penser à récupérer sa configuration, ainsi que ses fichiers (répertoires "files/") et éventuellement les plugins si vous en avez.

Dans le bulletin de sécurité, Teclib précise : "Si votre serveur a déjà été corrompu, il vous faut probablement repartir d’un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.". Enfin, Teclib précise que les instances GLPI Network Cloud (GLPI en mode SaaS) ne sont pas impactées par ces risques de sécurité.

Les releases sont disponibles sur GitHub : GLPI.

Source : bulletin de sécurité Teclib

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Surprise : Red Hat avance la fin de vie de CentOS 8 à fin 2021

Florian BURNEL 0
Les licences perpétuelles VMware c'est terminé

VMware abandonne les licences perpétuelles pour passer à un système d’abonnements !

Florian BURNEL 5

Attention aux vols de comptes WhatsApp avec cette application non officielle !

Florian BURNEL 2

1 commentaire sur “GLPI 9.5 et GLPI 10 : deux vulnérabilités critiques, dont une massivement exploitée !

  • Merci ! J’ai fait l’update immédiatement après avoir été renseigné de la faille via votre article 😉

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.