GLPI - CVE-2026-22248
Date de publication :
Il s'agit d'une vulnérabilité dans GLPI lors du téléversement d’un fichier par un utilisateur technicien authentifié.
GLPI est un logiciel libre de gestion de parc informatique et de centre de services IT. Il est utilisé pour l’inventaire, l’assistance et des fonctions inspirées d’ITIL.
Le problème est lié à une instanciation PHP non sûre déclenchée après l’envoi d’un fichier malveillant.
Elle permet une exécution de code arbitraire à distance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Risques
Exécution de code arbitraire (à distance)
Exploitation
La vulnérabilité exploitée est du type
CWE-502 : Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
CWE-502 : Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
GLPI versions 11.0.0 jusqu’à 11.0.4.
Solutions ou recommandations
GLPI versions 11.0.5 et supérieures.