GLPI - CVE-2026-23489
Date de publication :
Il s'agit d'une vulnérabilité dans Fields pour GLPI.
Fields est un plugin pour GLPI qui permet d’ajouter des champs personnalisés sur les formulaires et objets gérés par GLPI, comme les tickets, ordinateurs ou utilisateurs. Il peut être utilisé en environnement auto-hébergé et est aussi disponible sur GLPI Cloud.
Le plugin autorise des utilisateurs disposant du droit de créer des listes déroulantes à injecter un contenu qui n’est pas validé de façon sûre avant son traitement côté serveur. Ce contenu atteint ensuite le moteur PHP de l’application et s’exécute dans le contexte du serveur hébergeant GLPI.
Elle permet une exécution de code PHP arbitraire sur le serveur GLPI.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-20 : Improper Input Validation
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Fields pour GLPI versions 1.23.2 et antérieures.