SQL injection dans le composant « native inventory » de GLPI
Native inventory GLPI est une fonctionnalité permettant de recueillir des données sur les équipements, les licences, les utilisateurs et d’autres éléments destinés à réaliser l’inventaire informatique. Il permet de gérer les actifs, planifier les maintenances, gérer les licences logicielles, générer des rapports d’inventaire, etc.
Cette fonctionnalité présente une vulnérabilité libellée CVE-2023-35924. Grâce à cette faille, un acteur malveillant pourrait injecter du code SQL et interagir avec la base de données afin de recueillir des informations confidentielles. Elle est due à une défaillance dans le processus de vérification des entrées utilisateurs.
Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 8,6.
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
SYSTEMES AFFECTÉS
- Les versions 10.0.0 à 10.0.7 de GLPI
MESURES À PRENDRE
- Mettre à jour GLPI vers la version 10.0.8 ou désactiver la fonctionnalité « Native inventory » de GLPI
Source : bjCSIRT