IT-Connect » Actualités » Actu Cybersécurité » GLPI 9.5 et GLPI 10 : deux vulnérabilités critiques, dont une massivement exploitée !

GLPI - CVE-2022-35947 - CVE-2022-35914
Actu Cybersécurité Logiciel - OS 

GLPI 9.5 et GLPI 10 : deux vulnérabilités critiques, dont une massivement exploitée !

Florian BURNEL 3251 Views 1 Commentaire , 1 min read

Le 14 septembre 2022, l'éditeur Teclib a mis en ligne deux nouvelles versions de GLPI pour corriger deux vulnérabilités critiques, dont l'une qui est massivement exploitée dans le cadre d'attaques depuis le 3 octobre 2022. Faisons le point.

Depuis le 14 septembre 2022, GLPI 9.5.9 et GLPI 10.0.3 sont disponibles au téléchargement et il s'agit d'une mise à jour à installer en urgence sur votre serveur GLPI, notamment si celui-ci est disponible sur Internet, car ces versions corrigent 2 failles critiques.

  • CVE-2022-35947 : vulnérabilité de type "injection SQL" - Score CVSSv3 de 9,8 sur 10
  • CVE-2022-35914 : vulnérabilité de type "exécution de code à distance" - Score CVSSv3 de 9,8 sur 10

D'après Teclib, la vulnérabilité CVE-2022-35914, présente dans la librairie tierce "htmlawed", est massivement exploitée dans le cadre de cyberattaques depuis le 3 octobre 2022, y compris en France où GLPI est très utilisé ! Cette librairie sert à sécuriser les champs de saisie ("input text"). L'éditeur recommande d'installer la mise à jour dès que possible, selon votre version majeure actuelle GLPI 9.5 ou GLPI 10.

Attention, pour effectuer la mise à jour, il faut partir d'un dossier vide et ne pas écraser les fichiers existants de GLPI. Sinon, la nouvelle version censée corriger les failles de sécurité restera vulnérable ! Personnellement, je repars toujours d'un dossier vide pour mettre à jour GLPI afin d'avoir uniquement les fichiers de la version actuelle et ne pas conserver d'anciens fichiers dans les répertoires de GLPI. Ensuite, il faut penser à récupérer sa configuration, ainsi que ses fichiers (répertoires "files/") et éventuellement les plugins si vous en avez.

Dans le bulletin de sécurité, Teclib précise : "Si votre serveur a déjà été corrompu, il vous faut probablement repartir d’un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.". Enfin, Teclib précise que les instances GLPI Network Cloud (GLPI en mode SaaS) ne sont pas impactées par ces risques de sécurité.

Les releases sont disponibles sur GitHub : GLPI.

Source : bulletin de sécurité Teclib

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5575.Voir tous les posts

Vous pourrez aussi aimer

Allemagne : un décès lié à une attaque par ransomware

Florian BURNEL 0
Bug contrôleur de domaine Windows Server - Mars 2024 - Suivi Microsoft

Microsoft avoue que la mise à jour de mars 2024 fait planter les contrôleurs de domaine !

Florian BURNEL 5

Hyper-V – Bulletin de sécurité

Florian BURNEL 0

One thought on “GLPI 9.5 et GLPI 10 : deux vulnérabilités critiques, dont une massivement exploitée !

  • Merci ! J’ai fait l’update immédiatement après avoir été renseigné de la faille via votre article 😉

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.