SQL injection dans le composant « native inventory » de GLPI

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/032

Date de l’alerte : 06/07/2023

APERÇU :

Native inventory, une fonctionnalité de GLPI, est affectée par une vulnérabilité de type SQL Injection permettant à un acteur malveillant d’injecter du code SQL.

DESCRIPTION :

Native inventory GLPI est une fonctionnalité permettant de recueillir des données sur les équipements, les licences, les utilisateurs et d’autres éléments destinés à réaliser l’inventaire informatique. Il permet de gérer les actifs, planifier les maintenances, gérer les licences logicielles, générer des rapports d’inventaire, etc.

Cette fonctionnalité présente une vulnérabilité libellée CVE-2023-35924. Grâce à cette faille, un acteur malveillant pourrait injecter du code SQL et interagir avec la base de données afin de recueillir des informations confidentielles. Elle est due à une défaillance dans le processus de vérification des entrées utilisateurs.

Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 8,6.

IMPACT :

  • Atteinte à la confidentialité des données
  • Atteinte à l’intégrité des données

SYSTEMES AFFECTÉS : 

  • Les versions 10.0.0 à 10.0.7 de GLPI.

MESURES À PRENDRE : 

Mettre à jour GLPI vers la version 10.0.8 ou désactiver la fonctionnalité « Native inventory » de GLPI.

REFERENCES :

Partagez sur vos réseaux.