Origine : bjCSIRT
Numéro : 2023/ALERTE/032
Date de l’alerte : 06/07/2023
APERÇU :
Native inventory, une fonctionnalité de GLPI, est affectée par une vulnérabilité de type SQL Injection permettant à un acteur malveillant d’injecter du code SQL.
DESCRIPTION :
Native inventory GLPI est une fonctionnalité permettant de recueillir des données sur les équipements, les licences, les utilisateurs et d’autres éléments destinés à réaliser l’inventaire informatique. Il permet de gérer les actifs, planifier les maintenances, gérer les licences logicielles, générer des rapports d’inventaire, etc.
Cette fonctionnalité présente une vulnérabilité libellée CVE-2023-35924. Grâce à cette faille, un acteur malveillant pourrait injecter du code SQL et interagir avec la base de données afin de recueillir des informations confidentielles. Elle est due à une défaillance dans le processus de vérification des entrées utilisateurs.
Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 8,6.
IMPACT :
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
SYSTEMES AFFECTÉS :
- Les versions 10.0.0 à 10.0.7 de GLPI.
MESURES À PRENDRE :
Mettre à jour GLPI vers la version 10.0.8 ou désactiver la fonctionnalité « Native inventory » de GLPI.
REFERENCES :
