GLPI - CVE-2026-26026
Date de publication :
Il s'agit d'une vulnérabilité d'injection de template côté serveur (Server-Side Template Injection, SSTI) dans GLPI.
GLPI est un logiciel libre de gestion de parc informatique et de service desk (ITSM), largement déployé dans le secteur public français, notamment dans les établissements de santé, les collectivités et les administrations. Il permet la gestion des actifs matériels et logiciels, la gestion des tickets et la traçabilité des changements.
Le moteur de templates utilisé par l'application n'effectue pas de neutralisation correcte des éléments spéciaux fournis via la fonctionnalité de templating accessible à un utilisateur administrateur authentifié. Une entrée utilisateur malveillante est interprétée directement comme du code par le moteur de rendu, sans isolation ni paramétrage. La chaîne d'exploitation passe par la soumission d'un template forgé incorporant des directives d'exécution de code interprétées côté serveur.
Elle permet à un attaquant distant disposant d'un compte administrateur d'exécuter du code arbitraire à distance, entraînant une compromission complète du serveur en confidentialité, intégrité et disponibilité, avec changement de périmètre.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
GLPI versions 11.0.0 jusqu'à 11.0.5