Origine : bjCSIRT

Numéro : 2025/ALERTE/037

Date de l’alerte : 09/05/2025

APERÇU :

Une vulnérabilité de type injection SQL identifiée dans GLPI, permettrait à un acteur malveillant non authentifié, d’exécuter des requêtes SQL arbitraires sur les systèmes affectés. 

DESCRIPTION :

GLPI (Gestionnaire Libre de Parc Informatique) est une solution open source largement utilisée pour la gestion des actifs et des services informatiques. 

Cet outil est affecté par une vulnérabilité libellée CVE-2025-24799, qui résulte d’une mauvaise validation des entrées utilisateur dans la fonction handleAgent lors du traitement des requêtes XML.  L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, d’injecter des commandes SQL arbitraires via le point de terminaison /inventory, compromettant ainsi le système affecté. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5 selon le CVSS:3.1. 

IMPACT :

• Atteinte à confidentialité des données ; 
• Atteinte à l’intégrité des données ; 
• Atteinte à disponibilité des données.

 SYSTÈMES AFFECTÉS : 

• Les versions de GLPI antérieures à 10.0.18.

MESURES À PRENDRE :

• Mettre à jour GLPI vers la version la plus récente, en l’occurrence la 10.0.18. 

RÉFÉRENCES :

• https://glpi-project.org/glpi-10-0-18-is-available/
• https://nvd.nist.gov/vuln/detail/CVE-2025-24799
• https://www.tenable.com/cve/CVE-2025-24799
• https://ubuntu.com/security/CVE-2025-24799