Origine : bjCSIRT
Numéro : 2024/ALERTE/087
Date de l’alerte : 13/12/2024
APERÇU :
De multiples vulnérabilités ont été découvertes dans GLPI permettant à un acteur malveillant d’accéder à des données sensibles, de compromettre des comptes utilisateurs et des sessions valides et de provoquer une élévation de privilèges sur les systèmes affectés.
DESCRIPTION :
GLPI est une solution open-source de gestion de parc informatique qui permet de recenser, organiser et superviser les équipements IT, les logiciels et les demandes de support.
Cet outil présente plusieurs vulnérabilités libellées comme suit :
CVE-2024-47758 : elle résulte d’une insuffisance dans les mécanismes de sécurité liés à l’authentification ou à la gestion des sessions de l’API et permettrait à un acteur malveillant de prendre le contrôle d’un compte utilisateur. Cette vulnérabilité est classée élevée avec un score de sévérité de 7.6 selon le CVSS v4.0.
CVE-2024-47760 : cette vulnérabilité liée à une mauvaise gestion des contrôles d’accès dans l’API de GLPI permettrait à un acteur malveillant authentifié d’utiliser l’API pour obtenir des privilèges plus élevés. Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5 selon le CVSS v4.0.
CVE-2024-47761 : cette vulnérabilité découle d’une mauvaise gestion des notifications via la fonction de réinitialisation de mot de passe. Elle permettrait à un acteur malveillant authentifié en tant qu’administrateur, d’accéder à un compte avec des privilèges plus élevés en utilisant les données sensibles contenues dans les notifications envoyées par GLPI. Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5 selon le CVSS v4.0.
CVE-2024-48912 : elle est due à un contrôle d’accès incorrect dans GLPI, ce qui permettrait à un acteur malveillant authentifié d’utiliser un point de terminaison de l’application pour supprimer des comptes utilisateurs. Cette vulnérabilité est classée élevée avec un score de sévérité de 7.2 selon le CVSS v4.0.
CVE-2024-50339 : cette vulnérabilité qui résulte d’une mauvaise sécurisation des sessions dans GLPI permettrait à un acteur malveillant non authentifié d’accéder à des sessions utilisateurs valides. Cette vulnérabilité est classée critique avec un score de sévérité de 9.3 selon le CVSS v4.0
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Elévation de privilèges .
SYSTÈMES AFFECTÉS :
- GLPI versions 0.80 et antérieures à 10.0.17 ;
- GLPI versions 9.1.0 et antérieures à 10.0.17 ;
- GLPI versions 9.3.0 et antérieures à 10.0.17 ;
- GLPI versions 9.5.0 et antérieures à 10.0.17 ;
- GLPI versions 10.0.0 et antérieures à 10.0.17.
MESURES À PRENDRE :
Mettre à jour GLPI vers la version 10.0.17 ou ultérieure.
RÉFÉRENCES :