GLPI - CVE-2026-42317
Date de publication :
Il s'agit d'une vulnérabilité de contrôle d'accès manquant dans le module de planning de GLPI.
GLPI est un logiciel libre de gestion de parc informatique et de service desk (ITSM). Il assure la gestion des actifs matériels et logiciels, la gestion des tickets d'incident, le suivi des contrats et licences, ainsi que l'inventaire réseau.
L'application n'effectue aucune vérification d'autorisation sur les opérations de suppression de fichiers déclenchées depuis cette interface. Un utilisateur avec un profil technicien peut cibler et supprimer tout fichier accessible en écriture par le processus du serveur web, sans restriction applicative.
Elle permet à un attaquant authentifié à faibles privilèges de détruire des fichiers de configuration, des pièces jointes ou des fichiers système, entraînant une atteinte à l'intégrité et une potentielle indisponibilité du service.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-862 : Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• GLPI versions 0.78 jusqu'à 10.0.24
• GLPI versions 11.0.0 jusqu'à 11.0.6
Contournement provisoire
Solutions ou recommandations
• GLPI version 11.0.7 et supérieures