SQL injection dans le composant « native inventory » de GLPI

Native inventory GLPI est une fonctionnalité permettant de recueillir des données sur les équipements, les licences, les utilisateurs et d’autres éléments destinés à réaliser l’inventaire informatique. Il permet de gérer les actifs, planifier les maintenances, gérer les licences logicielles, générer des rapports d’inventaire, etc.

Cette fonctionnalité présente une vulnérabilité libellée CVE-2023-35924. Grâce à cette faille, un acteur malveillant pourrait injecter du code SQL et interagir avec la base de données afin de recueillir des informations confidentielles. Elle est due à une défaillance dans le processus de vérification des entrées utilisateurs.

Cette vulnérabilité est de sévérité Elevée et son score CVSSv3 est de 8,6.

RISQUES DE SÉCURITÉ

  • Atteinte à la confidentialité des données
  • Atteinte à l’intégrité des données

SYSTEMES AFFECTÉS 

  • Les versions 10.0.0 à 10.0.7 de GLPI

MESURES À PRENDRE

  • Mettre à jour GLPI vers la version 10.0.8 ou désactiver la fonctionnalité « Native inventory » de GLPI

 

Source : bjCSIRT